JP2020005256A - Vxlan実装方法、ネットワークデバイス、および通信システム - Google Patents

Vxlan実装方法、ネットワークデバイス、および通信システム Download PDF

Info

Publication number
JP2020005256A
JP2020005256A JP2019117537A JP2019117537A JP2020005256A JP 2020005256 A JP2020005256 A JP 2020005256A JP 2019117537 A JP2019117537 A JP 2019117537A JP 2019117537 A JP2019117537 A JP 2019117537A JP 2020005256 A JP2020005256 A JP 2020005256A
Authority
JP
Japan
Prior art keywords
vlan
port
packet
authentication
petitioner
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019117537A
Other languages
English (en)
Other versions
JP6884818B2 (ja
Inventor
ビン・ユ
Bin Yu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2020005256A publication Critical patent/JP2020005256A/ja
Priority to JP2021080302A priority Critical patent/JP2021145345A/ja
Application granted granted Critical
Publication of JP6884818B2 publication Critical patent/JP6884818B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4675Dynamic sharing of VLAN information amongst network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • H04L12/4666Operational details on the addition or the stripping of a tag in a frame, e.g. at a provider edge node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/66Layer 2 routing, e.g. in Ethernet based MAN's

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】キャンパスネットワークにおけるVXLANの全体的な配備コストを削減するためのVXLAN実装方法を提供する。【解決手段】VXLAN実装方法は、仮想ローカルエリアネットワーク識別子VLAN IDからVXLANネットワーク識別子VNIへのマッピングをネットワークデバイスによって取得するステップと、ネットワークデバイスによって、アクセスデバイスによって転送された、イーサネット(登録商標)フレーム内のVLANタグフィールドにVLAN IDを含むイーサネットフレームをポートを通じて受信するステップと、ネットワークデバイスによって、VXLANパケットを得るために、VLAN IDおよびマッピングに基づいてイーサネットフレームに、VXLANヘッダ内のVNIフィールドがVNIを含むVXLANヘッダを追加するステップと、ネットワークデバイスによってVXLANパケットを送信するステップとを含む。【選択図】図2

Description

本出願は、コンピュータおよび通信テクノロジーの分野に関し、特に、仮想拡張可能ローカルエリアネットワーク(Virtual eXtensible Local Area Network, VXLAN)実装方法、ネットワークデバイス、および通信システムに関する。
VXLANにおいて、VXLANのパケットのカプセル化またはカプセル化解除機能を実装するデバイスは、VXLANトンネルエンドポイント(VXLAN tunnel end point, VTEP)と呼ばれる。VTEPは、VXLANのパケットのカプセル化を実施するためにレイヤ2パケットをトランスポートレイヤプロトコル(たとえば、ユーザデータグラムプロトコル(User Datagram Protocol, UDP))パケットにカプセル化する。VTEPは、サーバである可能性があり、またはネットワークデバイス(たとえば、スイッチもしくはルータ)である可能性がある。
キャンパスネットワークにおいて、端末デバイスは、概して、VXLANをサポートしない。したがって、VTEPの機能は、アクセスデバイスによって実装される。しかし、キャンパスネットワーク内には多くのアクセスデバイスが存在する。すべてのアクセスデバイスがVXLANをサポートするように求められる場合、キャンパスネットワークにおける全体の配備コストは、過大である。
本出願は、キャンパスネットワークにおけるVXLANの全体的な配備コストを削減するためのVXLAN実装方法を提供する。
第1の態様によれば、VXLAN実装方法が提供される。方法は、以下を含む。ネットワークデバイスが、仮想ローカルエリアネットワーク(Virtual Local Area Network, VLAN)識別子(identifier, ID)からVXLANネットワーク識別子VNIへのマッピングを取得する。ネットワークデバイスが、アクセスデバイスによって転送されたイーサネット(登録商標)フレームをポートを通じて受信する。イーサネット(登録商標)フレーム内のVLANタグフィールドは、VLAN IDを含む。ネットワークデバイスが、VXLANパケットを得るために、VLAN IDおよびマッピングに基づいてイーサネット(登録商標)フレームにVXLANヘッダを追加する。VXLANヘッダ内のVNIフィールドは、VNIを含む。ネットワークデバイスが、VXLANパケットを送信する。
本出願において、VTEPデバイスは、アクセスデバイスに接続されたネットワークデバイスである。言い換えると、VTEPデバイスは、アクセスデバイスよりも端末デバイスから遠いデバイスである。通常、端末デバイスからより遠くにはより少ないデバイスがある。このソリューションにおいて、アクセスデバイスはVXLANをサポートする必要がなく、比較的少ない量のネットワークデバイスのみがVXLANをサポートする必要があり、したがって、VXLANをサポートしないキャンパスネットワーク内の大量のアクセスデバイスが、引き続き使用され得る。したがって、キャンパスネットワークにおけるVXLANテクノロジーの配備コストは、比較的低い。しかし、ネットワークデバイスは端末デバイスに直接接続されず、イーサネット(登録商標)フレームに関するVNIを直接選択することを難しくするので、アクセスデバイスが、端末デバイスからのイーサネット(登録商標)フレームに関するVLAN IDを選択し、ネットワークデバイスが、VLAN IDからVNIへのマッピングを記憶する。アクセスデバイスからイーサネット(登録商標)フレームを受信した後、ネットワークデバイスは、VXLANパケットを得るために、VLAN IDからVNIへのマッピングに基づいてイーサネット(登録商標)フレームに対応するVXLANヘッダを追加し、それによって、VXLANを実装する。
アクセスデバイスが認証者として働く場合、認証プロセスにおいて、ネットワークデバイスは、認証サーバによって認可されたVLAN IDを取得しない。ネットワークにおけるイーサネット(登録商標)フレームの正常な転送を保証するために、ネットワークデバイス上の、アクセスデバイスに接続されるポートが、アクセスデバイスを使用することによってネットワークにアクセスする端末デバイスの認可されたVLANに追加される(add)必要がある。実装プロセスにおいては、複数の特定の追加方法が存在する。たとえば、ネットワークデバイス上のポートは、すべてのVLANに追加される。
第1の態様の可能な実装においては、ネットワークデバイスによって端末デバイスの認可されたVLANにポートを追加する別の方法が提供される。特に、方法は、以下を含む。ネットワークデバイスが、ポートを通じてアクセスデバイスから追加命令を受信する。追加命令は、VLAN IDを含む。ネットワークデバイスは、VLAN IDによって特定されたVLANにポートを追加する。VLANにネットワークデバイス上のポートを追加するこの方法においては、ブロードキャストドメインの範囲が制御され、それによって、セキュリティを改善することができる。
第1の態様の別の可能な実装において、追加命令は、第1のロケータ/識別子分離プロトコル(Locator/ID Separation Protocol, LISP)LISPパケットである。
任意で、第1のLISPパケットは、第1のパケットタイプインジケータをさらに運び、第1のパケットタイプインジケータは、第1のLISPパケットがVLAN IDを含むことを示す。パケットタイプインジケータによって、ネットワークデバイスは、対応する処理を実行するために、LISPパケットの目的を効率的に特定する、言い換えると、LISPパケットに含まれる情報の種類を特定することができる。
第1の態様の別な可能な実装において、方法は、以下をさらに含む。ネットワークデバイスは、ポートを通じてアクセスデバイスから第1の認証パケットを受信する。第1の認証パケットは、嘆願者(supplicant)デバイスに関する認証において使用される。ネットワークデバイスは、ポートと第1の認証パケット内の嘆願者デバイスのアドレスとの間の対応を記録する。ネットワークデバイスは、認証サーバから第2の認証パケットを受信する。第2の認証パケットは、嘆願者デバイスのアドレスおよびVLAN IDを含む。ネットワークデバイスは、第2の認証パケット内の嘆願者デバイスのアドレスおよびVLAN ID、ならびに嘆願者デバイスのアドレスとポートとの間の記録された対応に基づいて、VLAN IDによって特定されたVLANにポートを追加する。このようにして、ネットワークデバイスが、実際には認証者デバイスとして働き、したがって、端末デバイスにより近い大量のアクセスデバイスは、認証機能をサポートする必要がない。したがって、より単純でより低コストなハードウェアが、実装のために使用され、それによって、配備コストを削減することができる。
第1の態様の別の可能な実装において、ネットワークデバイスは、アクセスデバイスにバインディング命令(binding instruction)を送信する。バインディング命令は、嘆願者デバイスのアドレスおよびVLAN IDを含む。バインディング命令によって、アクセスデバイスは、端末デバイスに接続されたポートを端末デバイスの認可されたVLANに追加し、端末デバイスによって送信された後続のイーサネット(登録商標)フレームに適切なVLAN IDを追加する。
任意で、第1の認証パケットは、第1のLISPパケットにカプセル化され、第1のLISPパケットは、第1のパケットタイプインジケータをさらに運び、第1のパケットタイプインジケータは、第1のLISPパケットが認証パケットを運ぶことを示す。バインディング命令は、第2のLISPパケットであり、第2のLISPパケットは、第2のパケットタイプインジケータをさらに含み、第2のパケットタイプインジケータは、第2のLISPパケットが端末デバイスのMACアドレスおよびVLAN IDを含むことを示す。
第2の態様によれば、VXLAN実装方法が提供される。方法は、以下を含む。認証デバイスが、認証サーバによって認証された嘆願者デバイスに割り当てられたVLAN IDを取得する。認証者デバイスが、VXLANトンネルエンドポイントVTEPデバイスにLISPパケットを送信する。LISPパケットは、VLAN IDを含む。認証者デバイスおよびVTEPデバイスは、異なるデバイスによって実装される。たとえば、認証者デバイスは、アクセスデバイスであり、VTEPデバイスは、アクセスデバイスに接続されたネットワークデバイスである。したがって、VTEPデバイスが、ブロードキャストドメインの範囲を制御し、セキュリティを改善するために、指定されたVLANにVTEPデバイスのポートを追加するように、認証者デバイスが、認証が成功した後、VTEPデバイスに嘆願者デバイスのVLAN IDを送信する。
可能な実装において、方法は、以下をさらに含む。認証者デバイスが、嘆願者デバイスのMACアドレスに接続されたポートを決定する。認証者デバイスが、ポートのデフォルトのVLANの値をVLAN IDに設定する。認証者デバイスが、ポートを通じて嘆願者デバイスからイーサネット(登録商標)フレームを受信する。認証者デバイスが、ポートのデフォルトのVLANに基づいてVLAN IDを含むVLANタグをイーサネット(登録商標)フレームに追加し、それから、イーサネット(登録商標)フレームを転送する。VTEPデバイスが、イーサネット(登録商標)フレーム内のVLANタグ内のVLAN IDに基づいてマッピングされたVNIを取得し、VXLANを実装するためにイーサネット(登録商標)フレームにVXLANヘッダを追加するように、認証者デバイスが、イーサネット(登録商標)フレーム内のVLANタグにVLAN IDを追加する。
可能な実装において、LISPパケットは、パケットタイプインジケータをさらに含み、パケットタイプインジケータは、LISPパケットを受信するポートをVLAN IDによって特定されたVLANに追加するようにVTEPデバイスに命令するために使用される。パケットタイプインジケータによって、ネットワークデバイスは、対応する処理を実行するために、LISPパケットの目的を効率的に特定する、言い換えると、LISPパケットに含まれる情報の種類を特定することができる。
第3の態様によれば、VXLAN実装方法がさらに提供される。方法は、以下を含む。アクセスデバイスが、ポートを通じて端末デバイスから認証パケットを受信する。端末デバイスは、認証される嘆願者デバイスである。アクセスデバイスが、ポートと、嘆願者デバイスの、認証パケット内のMACアドレスとの間の対応を記録する。アクセスデバイスが、ネットワークデバイスに認証パケットを送信する。ネットワークデバイスは、認証者デバイスおよびVXLANトンネルエンドポイントVTEPデバイスである。アクセスデバイスが、ネットワークデバイスからバインディング命令を受信する。バインディング命令は、嘆願者デバイスのMACアドレスおよびVLAN IDを含む。アクセスデバイスが、対応と、嘆願者デバイスの、バインディング命令内のMACアドレスとに基づいてポートのデフォルトのVLANの値をVLAN IDに設定する。このソリューションにおいては、アクセスデバイスに接続されたネットワークデバイスが、認証者デバイスとVTEPデバイスとの両方として働き、アクセスデバイスが、認証者デバイスと認証される嘆願者デバイスとの間で認証パケットを転送し、認証が成功した後、アクセスデバイスが、認可されたVLANに基づいて嘆願者デバイスのアクセスを制御するために、バインディング命令に従って、認可されたVLANに嘆願者デバイスに接続されたポートを追加する。
可能な実装において、方法は、以下をさらに含む。アクセスデバイスが、ポートを通じて端末デバイスからイーサネット(登録商標)フレームを受信する。イーサネット(登録商標)フレームの送信元アドレスは、嘆願者デバイスのMACアドレスである。アクセスデバイスが、ポートのデフォルトのVLANに基づいてVLAN IDを含むVLANタグをイーサネット(登録商標)フレームに追加し、それから、イーサネット(登録商標)フレームを転送する。VTEPデバイスが、イーサネット(登録商標)フレーム内のVLANタグ内のVLAN IDに基づいてマッピングされたVNIを取得し、VXLANを実装するためにイーサネット(登録商標)フレームにVXLANヘッダを追加するように、アクセスデバイスが、イーサネット(登録商標)フレーム内のVLANタグにVLAN IDを追加する。
可能な実装において、アクセスデバイスがネットワークデバイスに認証パケットを送信することは、以下を含む。アクセスデバイスが、第1のLISPパケットを使用することによって認証パケットをカプセル化し、アクセスデバイスが、第1のLISPパケットをネットワークデバイスに送信する。アクセスデバイスとネットワークデバイスとの間の認証パケットは、LISPパケットを使用することによってカプセル化され、それによって、透過的な送信によるパケット認証のための実現可能な方法を提供する。
可能な実装において、第1のLISPパケットは、第1のパケットタイプインジケータをさらに運び、第1のパケットタイプインジケータは、第1のLISPパケットが認証パケットを運ぶことを示す。
可能な実装において、バインディング命令は、第2のLISPパケットであり、第2のLISPパケットは、第2のパケットタイプインジケータをさらに含み、第2のパケットタイプインジケータは、第2のLISPパケットが端末デバイスのMACアドレスおよびVLAN IDを含むことを示す。LISPパケットが複数の目的を実施するためのさまざまな種類の情報を運ぶことができるとき、パケットタイプインジケータによって、ネットワークデバイスは、対応する処理を実行するために、受信されたLISPパケットの目的を効率的に特定する、言い換えると、受信されたLISPパケットに含まれる情報の種類を特定することができる。
第4の態様によれば、ネットワークデバイスが提供される。ネットワークデバイスは、アクセスデバイスに接続される。ネットワークデバイスは、メモリ、ポート、および少なくとも1つのプロセッサを含む。メモリは、プログラムコードを記憶するように構成される。
少なくとも1つのプロセッサは、メモリに記憶されたプログラムコードを読んだ後、第1の態様または第1の態様の可能な実装のいずれか1つの方法を実行するように構成される。詳細に関しては、上述の詳細な説明を参照されたい。詳細は、本明細書において再び説明されない。
第5の態様によれば、アクセスデバイスが提供される。アクセスデバイスは、メモリ、ポート、および少なくとも1つのプロセッサを含む。メモリは、プログラムコードを記憶するように構成される。
少なくとも1つのプロセッサは、メモリに記憶されたプログラムコードを読んだ後、第2の態様もしくは第2の態様の可能な実装のいずれか1つの方法を実行するか、または第3の態様もしくは第3の態様の可能な実装のいずれか1つの方法を実行するように構成される。詳細に関しては、上述の詳細な説明を参照されたい。詳細は、本明細書において再び説明されない。
第6の態様によれば、第1の態様もしくは第1の態様の可能な実装のいずれか1つの方法を実行するか、または第2の態様もしくは第2の態様の可能な実装のいずれか1つの方法を実行するか、または第3の態様もしくは第3の態様の可能な実装のいずれか1つの方法を実行するためのVXLAN実装装置が、提供される。特に、VXLAN実装装置は、第1の態様もしくは第1の態様の可能な実装のいずれか1つの方法を実行するように構成されたユニットを含むか、または第2の態様もしくは第2の態様の可能な実装のいずれか1つの方法を実行するように構成されたユニットを含むか、または第3の態様もしくは第3の態様の可能な実装のいずれか1つの方法を実行するように構成されたユニットを含む。これらのユニットは、プログラムモジュールによって実装される可能性があり、またはハードウェアもしくはファームウェアによって実装される可能性がある。
第7の態様によれば、本出願は、コンピュータ可読ストレージ媒体を提供する。コンピュータ可読ストレージ媒体は、上述のネットワークデバイスによって使用されるコンピュータソフトウェア命令を記憶するように構成され、コンピュータソフトウェア命令がコンピュータ上で実行されるとき、コンピュータは、第1の態様または第1の態様の可能な実装のいずれか1つの方法を実行する。代替的に、コンピュータ可読ストレージ媒体は、上述のアクセスデバイスによって使用されるコンピュータソフトウェア命令を記憶するように構成され、コンピュータソフトウェア命令がコンピュータ上で実行されるとき、コンピュータは、第2の態様もしくは第2の態様の可能な実装のいずれか1つの方法を実行するか、またはコンピュータは、第3の態様もしくは第3の態様の可能な実装のいずれか1つの方法を実行する。
第8の態様によれば、命令を含むコンピュータプログラム製品が提供される。命令がコンピュータ上で実行されるとき、コンピュータは、上述の態様の各々の方法を実行する。
第9の態様によれば、通信システムが提供される。システムは、アクセスデバイスと、アクセスデバイスに接続されたネットワークデバイスとを含む。ネットワークデバイスは、第1の態様または第1の態様の可能な実装のいずれか1つの方法を実行するように構成される。
可能な実装において、アクセスデバイスは、第2の態様または第2の態様の可能な実装のいずれか1つの方法を実行するように構成される。
可能な実装において、アクセスデバイスは、第3の態様または第3の態様の可能な実装のいずれか1つの方法を実行するように構成される。
本出願の実施形態の技術的なソリューションをより明瞭に説明するために、以下で、実施形態を説明するために必要とされる添付の図面を簡潔に示す。明らかに、以下の説明の添付の図面は、本出願の一部の実施形態を示すに過ぎず、当業者は、創造的な努力なしにこれらの添付の図面からその他の図面をやはり導き出す可能性がある。
本出願の実施形態によるVXLAN実装方法の応用のシナリオの概略図である。 本出願の実施形態によるVXLAN実装方法の流れ図である。 本出願の実施形態におけるポートに基づくネットワークアクセス制御のために規定された認証プロセスの概略図である。 本出願の実施形態によるネットワークデバイスによって端末11のVLAN IDを取得する第1の方法の概略図である。 本出願の実施形態によるネットワークデバイスによって端末11のVLAN IDを取得する第2の方法の概略図である。 本出願の実施形態によるVXLANのカプセル化の概略図である。 本出願の実施形態によるネットワークデバイスの概略構造図である。 本出願の実施形態によるアクセスデバイスの概略構造図である。 本出願の実施形態によるVXLAN実装方法の概略図である。 本出願の実施形態によるVXLAN実装方法の概略図である。 本出願の実施形態によるLISPパケットのフィールド構造の概略図である。 本出願の実施形態による第1のLISPパケット拡張方法の概略図である。 本出願の実施形態によるVXLANのパケットヘッダの概略図である。 本出願の実施形態によるVXLAN実装方法の概略図である。 本出願の実施形態によるVXLAN実装方法の概略図である。 本出願の実施形態による第2のLISPパケット拡張方法の概略図である。 本出願の実施形態による第3のLISPパケット拡張方法の概略図である。
VTEPの機能がアクセスデバイスに実装される場合、アクセスデバイスは、比較的高いハードウェア構成を有することを求められ、たとえば、プログラミング能力を持ったチップを有することを求められる。加えて、比較的多い量のアクセスデバイスが存在する。したがって、アクセスデバイスを使用することによってVTEPの機能を実装するそのようなVXLANソリューションの配備コストは、過大である。これに基づいて、キャンパスネットワークにVXLANを実装するための別のソリューションを探すことが必要である。
VTEPがアクセスデバイス以外のネットワークデバイスを使用することによって実装される場合、いくつかの技術的問題がある。たとえば、ソリューションにおいては、アクセスデバイスに接続されたネットワークデバイスが、VTEPの機能を実装する。しかし、このソリューションにおいては、キャンパスネットワークのネットワークデバイスがイーサネット(登録商標)フレームのための適切なVNIを選択することが問題である。
上述の問題に関して、本出願の実施形態は、VXLAN実装のソリューションを提供する。このソリューションにおいては、VXLANプロトコルをサポートするネットワークデバイスがVTEPを実装する。ネットワークデバイスは、VLAN IDとVXLANネットワーク識別子(VXLAN Network Identifier, VNI)との間のマッピングを取得する。その後、アクセスデバイスからイーサネット(登録商標)フレームを受信するとき、ネットワークデバイスは、イーサネット(登録商標)フレーム内のVLANタグフィールドからVLAN IDを取得する。ネットワークデバイスは、VXLANパケットを得るために、イーサネット(登録商標)フレームから取得されたVLAN ID、およびVLAN IDとVNIとの間のマッピングに基づいてイーサネット(登録商標)フレームにVXLANヘッダを追加する。VXLANヘッダ内のVNIフィールドは、イーサネット(登録商標)フレーム内のVLAN IDがマッピングされるVNIを含む。ネットワークデバイスは、VXLANパケットを送信する。本出願の実施形態においては、簡単ではっきりした区別のために、VXLANパケットヘッダ内にあり、VNIを埋めるために使用されるフィールドは、「VNIフィールド」と呼ばれる。別の場合、VNIは、24ビットの2進値によって表されるVNIである。このソリューションにおいては、ネットワークデバイスが、VTEPの機能を実装し、キャンパスネットワーク内のアクセスデバイスのハードウェアが、VXLANをサポートするスイッチにアップグレードされる必要がなく、それによって、配備コストを削減する。さらに、端末が、VXLANの機能を持たないキャンパスネットワーク内の大量のアクセスデバイスを使用することによっていつでもどこでもネットワークにアクセスすることができ、ネットワークにアクセスするための場所に必ずしも制限されず、それによって、端末デバイスの使用の利便性を保証する。
本発明の実施形態の技術的なソリューションの主な実装の原理および特定の実装、ならびにそれに対応して技術的なソリューションによって実現され得る有益な効果が、添付の図面を参照して以下で詳細に説明される。
図1は、本出願の実施形態によるVXLAN実装方法の応用のシナリオの概略図である。方法は、キャンパスネットワークに適用される。キャンパスネットワークは、端末11および端末21などの端末デバイス、アクセスデバイス12およびアクセスデバイス22などのアクセスデバイス、ならびにネットワークデバイス13およびネットワークデバイス23などのネットワークデバイスを含む。任意で、ネットワークの規模および実際の要件に応じて、キャンパスネットワークは、コアデバイス30、ネットワーク管理デバイス40、および認証サーバ50をさらに含む。端末11は、アクセスデバイス12を使用することによってネットワークにアクセスする。ネットワークデバイス13は、アクセスデバイス12からのデータストリームを集約し、それから、コアデバイス30にデータストリームを送信する。コアデバイス30は、インターネットを通じてネットワーク管理デバイス40および認証サーバ50に接続される。端末21は、アクセスデバイス22を使用することによってネットワークにアクセスする。ネットワークデバイス23は、アクセスデバイス22からのデータストリームを集約し、それから、コアデバイス30にデータストリームを送信する。VXLANトンネルが、図1において太い破線によって示されるようにネットワークデバイス13とネットワークデバイス23との間に存在する。
パーソナルコンピュータ、プリンタ、モバイル電話、サーバ、ノートブックコンピュータ、インターネットプロトコル(Internet Protocol, IP)電話、カメラ、タブレットコンピュータ、ウェアラブルデバイスなどを含むがこれらに限定されない本出願のこの実施形態の端末デバイスは、ネットワーク接続能力を有する。
本出願のこの実施形態のアクセスデバイスは、スイッチまたはワイヤレスアクセスポイント(Access Point, AP)である。そうでないことが明言されない限り、本出願のこの実施形態のスイッチは、VXLANプロトコルをサポートしないスイッチである。
本出願のこの実施形態のネットワークデバイスは、レイヤ3スイッチまたはルータであり、ネットワークデバイスは、VXLANプロトコルをサポートする。
本出願のこの実施形態のネットワーク管理デバイスは、ネットワークの構成のためのシステムである。ネットワークマネージャは、リモート端末プロトコル(Telnet)、管理情報ベース(Management Information Base, MIB)、さらに別の次世代(yet another next generation, YANG)などを使用することによってネットワークを管理する可能性がある。代替的に、専用のネットワーク管理デバイスがネットワーク内で構成されないとき、ネットワークマネージャは、端末デバイス、アクセスデバイス、ネットワークデバイス、およびコアデバイスのアドレス、ポート、ネットワーク接続パラメータなどを構成するためにこれらのデバイスに直接ログインする可能性がある。
認証サーバは、ネットワークにアクセスすることを要求する端末デバイスを認証し、認証結果に基づいて端末デバイスのためのネットワークサービスを始めようと試みるように構成される。本出願のこの実施形態においては、端末デバイスのアドレスおよび登録情報などのデータに基づいてオンライン端末デバイスを認証した後、認証サーバが、端末デバイスに認可情報を割り当てる。認可情報は、VLAN IDを含む。任意で、認可情報は、グループ識別子(Group ID)をさらに含む。任意で、認証サーバは、認証、認可、およびアカウンティング(authentication, authorization, and accounting, AAA)サーバである。VLAN IDに基づいて、ネットワークデバイスは、ネットワークのセキュリティを改善するためにレイヤ2ブロードキャストドメインの範囲を制御することができる。グループ識別子と、ネットワーク管理デバイスによって構成されるグループポリシーとに基づいて、異なるグループ間のアクセスが制御され得る。たとえば、グループポリシーは、マッチング条件および制御アクションを含み、マッチング条件は、1つまたは複数のグループ識別子を含む。あるグループポリシーにおいては、マッチング条件が、グループAからグループBへのものであり、制御アクションが、アクセスを許すことであり、別のグループポリシーにおいては、マッチング条件が、グループBからグループCへのものであり、制御アクションが、アクセスを禁じることである。
図1に示されたシナリオでは、ネットワークデバイスが、VTEPを実装し、VXLANトンネルが、ネットワークデバイス13とネットワークデバイス23との間に存在し、端末11と端末21との間のパケットが、VXLANトンネルを通じて送信される。ネットワークデバイスによってVTEPの機能を実装する原理が、図1および図2を参照して以下で説明される。
図2は、本出願の実施形態によるVXLAN実装方法の流れ図である。図2は、主に、ネットワークデバイスによってVTEPを実装する原理をネットワークデバイスの観点から説明する。図2のネットワークデバイスは図1のネットワークデバイス13またはネットワークデバイス23である可能性があることは、理解されるであろう。図2の手順は、ステップ200からステップ203を含む。
ステップ200:ネットワークデバイスが、VLAN IDからVNIへのマッピングを取得する。
イーサネット(登録商標)フレーム内のVLANタグフィールドは、12ビットVLAN IDを含む可能性がある。VLAN IDは、レイヤ2ネットワークを複数の異なるブロードキャストドメインに分割するために使用される。1つのVLANのブロードキャストトラフィックもユニキャストトラフィックも、別のVLANに転送されない。スイッチのポートに基づく分割は、よくあるVLANの分割方法である。スイッチの異なるポートは、異なるVLANに対応するように別々に構成される。たとえば、スイッチの4つのポートが、VLAN 10に対応し、別のポートが、VLAN 20に対応する。VXLANテクノロジーにおいて、レイヤ2ネットワークは、レイヤ3ネットワーク内でレイヤ2データを送信するために24ビットVNIを使用することによってセグメント分けされる。通信は、異なるVNIによって示されるレイヤ2ネットワークの間で直接実行され得ない。
VLAN IDからVNIへのマッピングは、ネットワークデバイス上で手動で構成される可能性がある。代替的に、ネットワークデバイスは、VLAN IDからVNIへのマッピングを別のデバイス(たとえば、コントローラ)から受信する可能性がある。たとえば、ネットワークデバイスは、図1のネットワークデバイス13である。ネットワークマネージャが、ネットワークデバイス13のオペレーティングシステムによって提供されるコマンドラインインターフェースに直接ログインし、ネットワークデバイス13上でVLAN IDからVNIへのマッピングを構成する可能性がある。任意で、VLAN IDからVNIへのマッピングが、表1に示される。
ステップ201:ネットワークデバイスが、アクセスデバイスによって転送されたイーサネット(登録商標)フレームをポートを通じて受信し、イーサネット(登録商標)フレーム内のVLANタグフィールドは、VLAN IDを含む。イーサネット(登録商標)フレームは、送信元アドレスフィールド、送信先アドレスフィールド、およびVLANタグプロトコル識別子(VLAN Tag Protocol Identifier)フィールドを含む。本出願において、VLANタグプロトコル識別子フィールドは、VLANタグフィールドと呼ばれる。イーサネット(登録商標)フレームがレイヤ2フレームであるので、本出願のイーサネット(登録商標)フレーム内の送信元アドレスフィールドおよび送信先アドレスフィールドは、それぞれ、MACアドレスを含む。イーサネット(登録商標)フレームは、別のフィールド(たとえば、タイプフィールドまたは長さフィールド)およびデータ部分をさらに含む。たとえば、データ部分は、レイヤ3プロトコルデータユニットである。伝送制御プロトコル/インターネットプロトコル(Transmission Control Protocol/Internet Protocol, TCP/IP)プロトコルファミリに関して、レイヤ3プロトコルデータユニットは、IPデータパケットである。
ステップ202:ネットワークデバイスが、VXLANパケットを得るために、イーサネット(登録商標)フレーム内のVLAN ID、およびマッピングに基づいてイーサネット(登録商標)フレームにVXLANヘッダを追加し、VXLANヘッダ内のVNIフィールドは、VNIを含む。
ステップ203:ネットワークデバイスが、VXLANパケットを送信する。
図1に示されたシナリオが、引き続き例として使用される。オンラインになった後、端末11は、認証プロセスを完了した後にのみネットワークにアクセスすることができる。端末11が認証される前は、端末11に接続されたアクセスデバイス12は、端末11に関連する認証パケットのみが転送されることを許す。認証が成功する場合、認証サーバは、端末11を認可し、端末11に接続されたポートの状態を「制御なし(uncontrolled)」から「制御あり(controlled)」に変更するようにアクセスデバイス12に命令する。認証が成功した後、アクセスデバイス12の、端末11に接続された制御されたポートが、端末11からのイーサネット(登録商標)フレームを転送するか、または端末11へのイーサネット(登録商標)フレームを転送する可能性があり、したがって、端末11は、ネットワークにアクセスすることができる。認証が成功した後、認証サーバは、端末11に関するその他の認可情報をさらに構成し、たとえば、VLAN IDおよびグループ識別子を使用することによって端末11のネットワークアクセスの挙動を制御するために端末11にVLAN IDおよびグループ識別子を割り当てる可能性がある。端末11が認証され、認可された後、アクセスデバイス12は、(下の表3に示される)ユーザ情報テーブル内で端末11に関連するエントリを生成する。
端末11が認証された後、アクセスデバイス12は、端末11によって送信されたイーサネット(登録商標)フレームを受信し、イーサネット(登録商標)フレームを受信するポートの番号に基づいて、アクセスデバイス12に記憶された(下の表3に示される)ユーザ情報テーブル内で端末11に対応するVLAN 10を見つける。アクセスデバイス12は、端末11によって送信されたイーサネット(登録商標)フレームにVLAN 10を追加する。任意で、アクセスデバイス12は、イーサネット(登録商標)フレーム内のVLANタグフィールドにVLAN 10を追加する。アクセスデバイス12は、VLAN 10が追加されるイーサネット(登録商標)フレームをネットワークデバイス13に送信する。
イーサネット(登録商標)フレームを受信した後、イーサネット(登録商標)フレーム内のVLAN 10に基づいて、ネットワークデバイス13は、VLAN IDからVNIへの、表1に示されたマッピングの中で、VLAN 10がマッピングされるVNI 1000を見つける。ネットワークデバイス13は、受信されたイーサネット(登録商標)フレームに対してVXLANのカプセル化を実行する。カプセル化プロセスにおいて、見つかったVNI 1000が、VXLANヘッダ内のVNIフィールドに書き込まれる。ネットワークデバイス13は、カプセル化後に得られたパケットをVXLANトンネルを通じてネットワークデバイス23に送信する。
図4は、ネットワークデバイス13によってイーサネット(登録商標)フレームに対してVXLANのカプセル化を実行する概略図である。VXLANのカプセル化中に、VXLANヘッダ、外側UDPヘッダ、および外側IPヘッダが、受信されたイーサネット(登録商標)フレームに順に追加される。イーサネット(登録商標)フレームは、イーサネット(登録商標)フレームヘッダおよびデータ部分を含む。たとえば、データ部分は、IPパケットである。イーサネット(登録商標)フレームヘッダ内の送信元アドレスは、端末11のMACアドレスであり、送信先アドレスは、端末21のMACアドレスである。IPパケットヘッダ内の送信元アドレスは、端末11のIPアドレスであり、送信先アドレスは、端末21のIPアドレスである。
外側イーサネット(登録商標)ヘッダ内の送信元アドレスは、ネットワークデバイス13のMACアドレスであり、送信先アドレスは、ネットワークデバイス23のMACアドレスである。外側IPヘッダ内の送信元アドレスは、ネットワークデバイス13のIPアドレスであり、送信先アドレスは、ネットワークデバイス23のIPアドレスである。
本出願のこの実施形態において提供されるVXLAN実装方法では、端末デバイスが、アクセスデバイスを使用することによってネットワークにアクセスし、アクセスデバイスに接続され、VXLANプロトコルをサポートするネットワークデバイスが、VTEPを実装する。VLAN IDからVNIへのマッピングは、ネットワークデバイス上で構成される。その後、アクセスデバイスからイーサネット(登録商標)フレームを受信した後、ネットワークデバイスは、VXLANパケットを得るために、VLAN IDからVNIへのマッピング、およびイーサネット(登録商標)フレーム内のVLAN IDに基づいてイーサネット(登録商標)フレームにVXLANヘッダを追加する。VXLANヘッダは、イーサネット(登録商標)フレーム内のVLAN IDに対応するVNIを含む。このソリューションにおいて、アクセスデバイスは、VXLANをサポートする必要がなく、大量の既存のレイヤ2スイッチまたはAPが、キャンパスネットワーク内で引き続き使用されることが可能であり、キャンパスネットワーク内のアクセスデバイスのハードウェアが、VXLANをサポートするスイッチにアップグレードされる必要がなく、それによって、配備コストを削減する。
ステップ201においては、ネットワークデバイスがアクセスデバイスによって送信されたイーサネット(登録商標)フレームを受信した後、イーサネット(登録商標)フレームに対応する、ネットワークからの応答データを端末デバイスに送信するために、ネットワークデバイスは、ネットワークデバイス上の、アクセスデバイスに接続されるポートを(端末デバイスが認証された後に端末デバイスの認証サーバによって生成された認可情報内のVLAN IDによって特定されるVLANである)端末の認可されたVLANに追加する必要がある。アクセスデバイスおよびネットワークデバイス上の、端末デバイスに関連するポートが、認可されたVLANに追加され、その結果、端末デバイスがキャンパスネットワーク内のどの場所においてもアクセスデバイスを使用することによってネットワークにアクセスすることができることが、保証されることが可能であり、端末は、特定のアクセスデバイスを使用することによってまたはアクセスデバイス上の特定のポートを通じてネットワークにアクセスする必要がなく、それによって、端末デバイスの使用の利便性を保証する。
任意で、ネットワークデバイス上のポートは、複数の方法を使用することによって端末の認可されたVLANに追加される可能性がある。たとえば、ネットワークデバイス上のポートは、すべてのVLANに追加される。代替的に、アクセスデバイスとネットワークデバイスとの間のインタラクションのプロセスが改善される可能性があり、端末が認証され、認可された後、ネットワークデバイス上のポートが端末の認可されたVLANに追加される。前者のソリューションは、単純さおよび利便性によって特徴付けられ、アクセスデバイスとネットワークデバイスとの間のインタラクションのプロセスは、必要とされない。しかし、すべてのVLANにポートを追加することは、過大なブロードキャストドメインにつながり、ネットワークのセキュリティを低下させる。
以下で、ネットワークデバイス上のポートを端末の認可されたVLANに追加するためのアクセスデバイスとネットワークデバイスとの間のインタラクションのプロセスを改善する2つの特定の方法を説明する。
以下で説明されるアクセスデバイスとネットワークデバイスとの間のパケット交換のプロセスを理解することを容易にするために、最初に、認証プロセスが簡潔に説明される。以下で説明されるパケット交換プロセスは、認証プロセスに関連する。端末デバイスの認証は、認可されていない端末デバイスがネットワークによって提供されるサービスを得るためにアクセスポート(access port)を通じてネットワーク、たとえば、ローカルエリアネットワークまたは広域ネットワークにアクセスすることを防止するように意図される。3つの役割、認証される嘆願者(Supplicant)、認証者(Authenticator)、および認証サーバ(Authentication Server)が、概して、認証プロセスに含まれる。認証プロセスにおいて、認証される嘆願者は、端末デバイスであり、認証者は、アクセスデバイスであり、認証サーバは、サーバ、たとえば、AAAサーバである。簡潔で明瞭にするために、本出願のこの実施形態においては、アクセスデバイスとネットワークデバイスとの間のパケット交換のプロセスの単純化された説明のための例として、拡張可能認証プロトコル(Extensible Authentication Protocol, EAP)が使用される。端末デバイスおよびネットワーク側が別の規格で規定された認証手順を実行するとき、アクセスデバイスとネットワークデバイスとの間の情報交換の、認証手順に基づくプロセスは、それと類似している。プロセスは、列挙されない。
EAPの認証プロセスが、図3Aに示される。アクセスデバイスが認証を実行する前、端末デバイスをアクセスデバイスに接続するためのポートは、制御なし状態であり、EAPパケットのみが通過することを許す。認証が成功した後、端末デバイスのその他のデータは、アクセスデバイスのポートを通って送信され得る。認証プロセスは、主に、ステップ301からステップ310を含む。
ステップ301:端末デバイスが、認証プロセスを開始するために拡張可能認証プロトコル・オーバー・ローカル・エリア・ネットワーク(Extensible Authentication Protocol over LAN, EAPoL)開始(Start)パケットを送信する。
ステップ302:EAPoL開始パケットを受信した後、アクセスデバイスが、ユーザ識別子を送信するように端末デバイスに要求するために端末デバイスにEAP要求パケットを送信する。加えて、アクセスデバイスは、ユーザ情報テーブル内で新しいエントリを作成する。エントリは、EAPoL開始パケットを受信するポートの番号と、端末デバイスのMACアドレスおよびユーザ名などのEAPoL開始パケット内の情報とを記録する。
ステップ303:端末デバイスが、EAP応答パケットを生成し、EAP応答パケットにユーザ識別子をカプセル化し、EAP応答パケットをアクセスデバイスに送信する。
ステップ304:アクセスデバイスが、受信されたEAP応答およびアクセスデバイスの何らかの属性情報、たとえば、ネットワークアクセスサーバ(Net Access Server, NAS)のIPアドレスおよびNASポート(port)番号などの情報をリモート認証ダイヤルインユーザサービス(Remote Authentication Dial In User Service, RADIUS)アクセス要求(Access-Request)パケットにカプセル化し、RADIUSアクセス要求パケットを認証サーバに送信する。
ステップ305:RADIUSアクセス要求パケットを受信した後、認証サーバが、ユーザ識別子を抽出し、データベースを検索する。ユーザ識別子が見つからない場合、パケットは直ちに破棄される。ユーザ識別子が存在する場合、認証サーバは、ユーザパスワードなどの情報を抽出し、暗号文を生成するために、ランダムに生成された暗号化ワード(encryption word)を使用することによってMD5暗号化を実行する。さらに、認証サーバは、ランダムな暗号化ワードをEAPチャレンジ要求(EAP Challenge Request)パケットにカプセル化し、それから、EAPチャレンジ要求パケットをRADIUSアクセスチャレンジ(RADIUS Access-Challenge)パケットのEAPメッセージ属性にカプセル化し、RADIUSアクセスチャレンジパケットをアクセスデバイスに送信する。
ステップ306:RADIUSアクセスチャレンジパケットを受信した後、アクセスデバイスが、RADIUSアクセスチャレンジパケットにカプセル化されるEAPチャレンジ要求パケットを端末デバイスに送信する。
ステップ307:端末デバイスが、暗号文を生成するために、ローカルに記憶されたユーザ識別子およびパスワードなどの情報に対して同じMD5暗号化演算を、認証サーバによって送信されたランダムな暗号化ワードを使用することによって実行し、暗号文をEAPチャレンジ応答パケットにカプセル化し、EAPチャレンジ応答パケットをアクセスデバイスに送信する。
ステップ308:EAPチャレンジ応答パケットを受信した後、アクセスデバイスが、EAPチャレンジ応答パケットをRADIUSアクセス要求パケットのEAPメッセージ属性にカプセル化し、RADIUSアクセス要求パケットを認証サーバに送信する。
ステップ309:認証サーバが、カプセル化解除を実行し、端末デバイスによって返された暗号文をステップ305において認証サーバによって生成される暗号文と比較する。2つの暗号文が一致しない場合、認証は失敗し、認証サーバはRADIUSアクセス拒否メッセージを返し、ポートを閉じた状態のままにする。2つの暗号文が一致する場合、認証は成功し、認証サーバはEAP成功パケットをRADIUSアクセス承認パケットの属性にカプセル化し、RADIUSアクセス承認パケットをアクセスデバイスに送信する。加えて、RADIUSアクセス承認パケットは、その他の認可情報、たとえば、VLAN IDおよびグループ識別子などの情報をさらに運ぶ。
ステップ310:認証サーバによって送信されたRADIUSアクセス承認を受信した後、アクセスデバイスが、ポートの状態を「制御あり」に変更し、RADIUSアクセス承認からEAP成功パケットを抽出し、EAP成功パケットを端末デバイスに送信する。加えて、アクセスデバイスは、VLAN IDおよびグループ識別子を含む認可情報を、ユーザ情報テーブル内の新しく作成されたエントリに追加する。
本出願のこの実施形態においては、認証サーバによって端末11に割り当てられたVLAN IDがVLAN 10であると仮定される。
ネットワークデバイス13がアクセスデバイス12に接続されたポートを端末11の認可されたVLANに都合よく追加することを助けるために、ネットワークデバイス13およびアクセスデバイス12によって使用されるインタラクション方法は、以下の方法1および方法2を含むがこれらに限定されない。
方法1:ネットワークデバイスが、ポートを通じてアクセスデバイスから追加命令を受信する。追加命令は、VLAN IDを含む。ネットワークデバイスは、VLAN IDによって特定されたVLANにポートを追加する。
方法1において、認証者デバイスは、アクセスデバイス12であり、認証プロセスが、図3Aに示される。認証が成功した後、アクセスデバイス12は、認証サーバによって認証された嘆願者デバイスに割り当てられたVLAN IDを取得する。アクセスデバイス12は、図3Bに示されるように、アクセスデバイス12とネットワークデバイス13との間で制御プレーンのプロトコルを使用することによってネットワークデバイス13に追加命令を送信する。追加命令は、VLAN 10を含む。(以下で、ポートE1/0/0と呼ばれる)ポート番号E1/0/0によって示されるポートを通じて追加命令を受信した後、ネットワークデバイス13は、ポートE1/0/0をVLAN 10に追加する。
制御プレーンのプロトコルは、新しく定義されたプロトコルである可能性があり、または既存のプロトコルに何らかの拡張を行うことによって実装され、たとえば、LISPを拡張することによって実装される可能性がある。拡張方法の例が、以下の実施形態において与えられる。
方法1において、アクセスデバイスは、認証者デバイスとして働き、端末デバイスが認証された後、アクセスデバイスは、追加命令を使用することによって、端末デバイスの認可されたVLAN IDをネットワークデバイスに知らせ、その結果、既存のネットワーク認証手順が、ほんのわずかに修正され、実装コストが、比較的低い。
方法2:認証者デバイスは、ネットワークデバイス13である。アクセスデバイスは、認証される嘆願者デバイスと認証者デバイスとの間で認証パケットを転送し、はっきり言えば、端末デバイスによって送信された認証パケットを認証者デバイスに送信し、認証者デバイスによって送信された認証パケットを端末デバイスに送信する。ネットワークデバイスは、ポートを通じてアクセスデバイスから第1の認証パケットを受信する。第1の認証パケットは、嘆願者デバイスに関する認証を提供する。ネットワークデバイスは、(第1の認証パケットを受信するポートである)ポートと第1の認証パケット内の嘆願者デバイスのアドレスとの間の対応を記録する。ネットワークデバイスは、認証サーバから第2の認証パケットを受信する。第2の認証パケットは、嘆願者デバイスのアドレスおよびVLAN IDを含む。ネットワークデバイスは、第2の認証パケット内の嘆願者デバイスのアドレスおよびVLAN ID、ならびにポートと嘆願者デバイスのアドレスとの間の記録された対応に基づいて、VLAN IDによって特定されたVLANにポートを追加する。
図3Cに示されるように、特に、ネットワークデバイス13のIPアドレスは、アクセスデバイス12上で構成される。アクセスデバイス12およびネットワークデバイス13は、制御プレーンのプロトコルに基づいて認証パケットを送信する。制御プレーンのプロトコルは、新しく定義されたプロトコルである可能性があり、または既存のプロトコルに何らかの拡張を行うことによって実装され、たとえば、LISPを拡張することによって実装される可能性がある。拡張方法の例が、以下の実施形態において与えられる。認証チャネルは、実際は、パケットをカプセル化するために使用される特定の方法である。
端末11がオンラインになり、端末11の認証プロセスがトリガされた後、アクセスデバイス12は、端末によって送信された第1の認証パケット(たとえば、EAPoL開始パケット)を受信し、ユーザ情報テーブル(または転送テーブル)内で新しいエントリを作成する。エントリは、第1の認証パケット内の端末11(認証される嘆願者デバイス)のMACアドレスと、第1の認証パケットを受信するポートの番号とを記録する。アクセスデバイス12は、制御プレーンのプロトコルを使用することによって端末11の第1の認証パケット(たとえば、EAPoL開始パケット)をカプセル化し、カプセル化後に得られたパケットをネットワークデバイス13に送信する。第1の認証パケットを得るために認証チャネルを通じて送信されたパケットをカプセル化解除した後、ネットワークデバイス13は、端末11の認証手順を実行する。認証手順を実行するプロセスにおいて、ネットワークデバイス13は、アクセスデバイス12によって送信されたパケットをカプセル化解除し、カプセル化解除後に得られたパケット(たとえば、EAPoL開始パケット、EAP応答パケット、またはEAPチャレンジ応答パケット)を規格で規定されたように処理する。加えて、ネットワークデバイス13は、端末11に送信されるパケット(たとえば、EAP要求)を、制御プレーンのプロトコルを使用することによってカプセル化し、カプセル化後に得られたパケットをアクセスデバイス12に送信する。ネットワークデバイス13は、さらに、認証サーバによって送信されたパケット(たとえば、RADIUSアクセスチャレンジパケットまたはRADIUSアクセス承認)を受信し、認証手順に従ってパケットを処理し、処理後に得られ、端末デバイスに送信される必要があるパケットをカプセル化し、それから、カプセル化後に得られたパケット(たとえば、EAPチャレンジ要求またはEAP成功パケット)を認証チャネルを通じてアクセスデバイス12に送信する。
アクセスデバイス12は、ネットワークデバイス13によって送信された認証パケット(たとえば、図3CのEAP要求パケットまたはEAPチャレンジ要求もしくはEAP成功パケット)を認証チャネルを通じて受信し、認証チャネルを通じて送信されたパケットをカプセル化解除し、カプセル化解除後に得られたパケットを端末11に送信する。
認証サーバによって送信された第2の認証パケット(たとえば、RADIUSアクセス承認パケット)を受信した後、ネットワークデバイス13は、RADIUSアクセス承認パケットにカプセル化されるEAP成功パケットを認証チャネルを通じてアクセスデバイス12に送信するだけでなく、認証サーバによって送信されたRADIUSアクセス承認パケットからその他の認可情報、たとえば、VLAN IDおよびグループ識別子などの情報を取得する。第1の認証パケットを受信する記録されたポートは、認可情報のVLAN IDによって特定されたVLANに追加される。EAP成功パケットを受信した後、アクセスデバイス12は、端末11に接続されたポートを制御あり状態に設定する。
任意で、図3Cを参照すると、ネットワークデバイス13は、さらに、制御プレーンのプロトコルを使用することによって端末11のMACアドレスおよび認可情報内のVLAN IDをカプセル化し、それから、カプセル化後に得られたパケットをアクセスデバイスに送信する。アクセスデバイス12は、端末11のMACアドレスおよび端末11のVLAN IDを得るために受信されたパケットをカプセル化解除し、端末11のMACアドレスに基づいてユーザ情報テーブル(たとえば、転送テーブル)に問い合わせることによって作成されたエントリを取得し、端末11のVLAN IDをエントリに追加する。ポートとVLAN IDとの間の対応が、エントリを使用することによって確立される。言い換えると、端末11に接続されたポートのデフォルトのVLANの値が、VLAN IDに設定される。本明細書における制御プレーンのプロトコルは、新しく定義されたプロトコルである可能性があり、または既存のプロトコルに何らかの拡張を行うことによって実装され、たとえば、LISPを拡張することによって実装される可能性がある。拡張方法の例が、以下の実施形態において与えられる。
本出願のこの実施形態においては、端末11が認証された後、端末11は、認可された範囲内の別の端末と通信することができる。たとえば、端末11が別の端末へのアクセスを開始するとき、端末11は、イーサネット(登録商標)フレームを生成する。イーサネット(登録商標)フレームの送信元アドレスは、端末11のMACアドレスである。端末11によって送信されたイーサネット(登録商標)フレームを受信した後、アクセスデバイス12は、イーサネット(登録商標)フレームを受信するポートのデフォルトのVLANに基づいてイーサネット(登録商標)フレーム内のVLANタグにデフォルトのVLANのVLAN IDを追加する。それから、アクセスデバイス12は、VLAN IDが追加される追加されたVLAN IDを含むイーサネット(登録商標)ヘッダを有するイーサネット(登録商標)フレームをネットワークデバイス13に送信する。
方法2において、ネットワークデバイスは、端末デバイスの認証手順を実行し、アクセスデバイスおよびネットワークデバイスは、LISPを使用することによって互いに認証パケットを送信する。認証者は、端末から遠く離れたネットワークデバイスであり、したがって、端末により近い大量のアクセスデバイスは、VXLANをサポートする必要がなく、認証をサポートする必要さえない可能性がある。したがって、より単純でより低コストなハードウェアが、実装のために使用され、それによって、配備コストを削減することができる。
図5は、図1に示されたシナリオにおけるネットワークデバイスの概略構造図である。図5に示されるネットワークデバイスは、図2のネットワークデバイスの機能を実施するために、図2に示された手順でネットワークデバイスとして働く。図5のネットワークデバイスは、プロセッサ51、転送チップ52、ポート53、およびメモリ54を含む。ポート53は、複数のポートを含む。転送チップ52は、ポート53の各々に接続される。
転送チップ52およびメモリ54は、プロセッサ51とともに同じ物理構成要素に統合される可能性があり、または別々の物理構成要素である可能性がある。転送チップ52およびメモリ54がプロセッサ51とともに同じ物理構成要素(たとえば、マルチコアCPU)に統合されるとき、メモリ54は、CPU内にあり、転送チップ52は、マルチコアCPU内のコアである可能性がある。転送チップ52およびメモリ54がプロセッサ51と独立した別の物理構成要素であるとき、転送チップ52とメモリ54との両方が、プロセッサ51に接続される。転送チップ52は、メモリ54にさらに接続される。
メモリ54が別の物理構成要素であるとき、メモリ54は、ランダムアクセスメモリ(random access memory, RAM)、読み出し専用メモリ(Read-Only Memory, ROM)、消去可能プログラマブル読み出し専用メモリ(erasable programmable read-only memory, EPROM)、3値連想メモリ(ternary content addressable memory, TCAM)、フラッシュメモリ、光学式メモリなどを含むがこれらに限定されない。
メモリ54は、VLAN IDとVNIとの間の表1に示されたマッピング関係テーブルおよび転送テーブルを記憶するように構成される。マッピング関係テーブルは、VLAN IDからVNIへのマッピングを記憶するために使用され、マッピングは、マネージャによって構成される可能性がある。
転送テーブルのエントリは、端末のMACアドレスとポート番号との間のマッピング関係を記憶する。ポート番号は、ネットワークデバイス上のポートを示す。任意で、転送テーブルの各エントリは、ポートが追加されるVLANを示すために使用される少なくとも1つのVLAN IDをさらに記憶する。表2は、図1のネットワークデバイス13の転送テーブルのエントリの例である。「00e0-d26b-8121」は、端末11のMACアドレスであり、「E1/0/0」は、ネットワークデバイス13上のポートを示し、ポートは、VLAN 10によって示されたVLANに追加される。もちろん、実際の記憶中に、異なるベンダーのネットワークデバイスは、異なるデータ構造を使用することによってMACアドレスとポート番号との間のマッピング関係を記憶する可能性がある。
転送チップ52は、メモリ54内の情報にアクセスする可能性がある。
上述の構成要素の間の特定の接続媒体は、本出願のこの実施形態において限定されず、たとえば、バスである。
プロセッサ51は、ネットワークデバイスと別のネットワークデバイスとの間のVXLANトンネルを構成するように転送チップ52を制御するように構成される。
ポート53は、アクセスデバイスに接続するかまたは別のネットワークデバイスに接続するように構成される。
ポート53の第1のポートは、アクセスデバイスに接続され、第1のポートは、アクセスデバイスによって転送されたイーサネット(登録商標)フレームを受信するように構成される。イーサネット(登録商標)フレーム内のVLANタグフィールドは、VLAN IDを含む。
プロセッサ51は、イーサネット(登録商標)フレーム内のVLANタグフィールドに含まれるVLAN IDと、VLAN IDからVNIへの表1に示されたマッピングとに基づいて、イーサネット(登録商標)フレーム内のVLANタグフィールドに含まれるVLAN IDがマッピングされるVNIを取得し、VXLANパケットを得るためにイーサネット(登録商標)フレームにVXLANヘッダを追加するようにさらに構成される。VXLANヘッダは、VNIを含む。
ポート53の第2のポートは、プロセッサ51によって取得されたVXLANパケットを送信するように構成される。任意で、第2のポートは、VXLANトンネルを通じて別のネットワークデバイスにVXLANパケットを送信する。たとえば、図1のネットワークデバイス13の構造が、図5に示され、ネットワークデバイス13が、ネットワークデバイス23にVXLANパケットを送信する。
図5に示されるネットワークデバイスが図3Bに示された方法1で端末デバイスのVLAN IDを取得する場合、第1のポートは、アクセスデバイスから追加命令を受信するように構成される。追加命令は、VLAN IDを含む。VLAN IDは、端末デバイスが認証され、アクセスデバイスが端末デバイスの認可情報を取得した後、認証者デバイスとして働くアクセスデバイスによってネットワークデバイスに送信される。任意で、アクセスデバイスは、追加命令を取得するためにVLAN IDを制御プレーンのプロトコルのパケットにカプセル化する。
プロセッサ51は、追加命令からVLAN IDを取得し、VLAN IDによって特定されたVLANに第1のポートを追加するように構成される。任意で、プロセッサは、制御プレーンのプロトコルのパケットからVLAN IDを取得するために制御プレーンのプロトコルのパケットをカプセル化解除し、VLAN IDによって特定されたVLANに第1のポートを追加する。
任意で、制御プレーンのプロトコルは、LISPである。言い換えると、追加命令は、LISPパケットである。本明細書においては、追加命令として働くLISPパケットを別の目的を有する後続のLISPパケットと区別するために、追加命令として働くLISPパケットは、「第1のLISPパケット」と呼ばれる。任意で、プロセッサ51は、異なる機能モジュールを使用することによって上述の機能を実施する。たとえば、プロセッサ51は、VLAN IDを取得するために所定のLISP拡張フォーマットに基づいて第1のLISPパケットをカプセル化解除するように構成されたLISPサポートモジュールを含む。
図5に示されるネットワークデバイスが図3Cに示された方法2で端末デバイスのVLAN IDを取得する場合、言い換えると、ネットワークデバイスが認証者デバイスとして働く場合、プロセッサ51は、ネットワークデバイスとアクセスデバイスとの間の認証チャネルを確立するようにさらに構成される。ポート53は、複数のポートを含み、第1のポートは、アクセスデバイスに接続され、第1のポートは、アクセスデバイスから第1の認証パケットを受信するように構成される。第1の認証パケットは、嘆願者デバイスに関する認証において使用される。
プロセッサ51は、第1のポートと第1の認証パケット内の嘆願者デバイスのアドレスとの間の対応を記録するように構成される。
ポート53の第3のポートは、認証サーバから第2の認証パケットを受信するように構成される。第2の認証パケットは、嘆願者デバイスのアドレスおよびVLAN IDを含む。
プロセッサ51は、第2の認証パケット内の嘆願者デバイスのアドレスおよびVLAN ID、ならびに第1のポートと嘆願者デバイスのアドレスとの間の記録された対応に基づいて、VLAN IDによって特定されたVLANに第1のポートを追加するようにさらに構成される。
任意で、認証プロセスにおいて、ネットワークデバイスとアクセスデバイスとの間で送信される認証パケットは、制御プレーンのプロトコルを使用することによってカプセル化される。任意で、制御プレーンのプロトコルは、LISPである。第1のポートは、アクセスデバイスから第2のLISPパケットを受信するようにさらに構成される。第1の認証パケットは、第2のLISPパケットにカプセル化される。
たとえば、図3Cを参照すると、第1の認証パケットは、EAPoL開始パケットであり、第2の認証パケットは、RADIUSアクセス承認パケットである。RADIUSアクセス承認パケットは、嘆願者デバイスのアドレスおよび認可情報を含み、認可情報は、VLAN IDを含む。
任意で、プロセッサ51は、第2の認証パケットからVLAN IDを取得した後、第1のポートを通じてアクセスデバイスにバインディング命令を送信するようにさらに構成される。バインディング命令は、嘆願者デバイスのアドレスおよびVLAN IDを含む。任意で、ネットワークデバイスは、制御プレーンのプロトコルを使用することによって嘆願者デバイスのアドレスおよびVLAN IDをカプセル化し、それから、カプセル化によって得られた制御プレーンのパケットをアクセスデバイスに送信する。任意で、制御プレーンのプロトコルは、LISPである。
任意で、プロセッサ51は、異なる機能モジュールを使用することによって上述の機能を実施する。たとえば、プロセッサ51は、LISPサポートモジュールおよび認証モジュールを含む。LISPサポートモジュールは、認証チャネルを通じてアクセスデバイスによって送信される認証パケット(たとえば、EAPoL開始パケット、EAP応答、またはEAPチャレンジ応答)をLISPによってカプセル化解除し、端末デバイスに送信される認証パケット(たとえば、EAP要求またはEAPチャレンジ要求)をLISPを使用することによってカプセル化し、それから、カプセル化によって得られたパケットを認証チャネルを通じてアクセスデバイスに送信し、所定のLISP拡張フォーマットを使用することによってVLAN IDをカプセル化し、それから、カプセル化によって得られたパケットを認証チャネルを通じてアクセスデバイスに送信するように構成される。認証モジュールは、認証パケットの解析をサポートし、認証手順に従って対応する処理を実行するように構成される。たとえば、図3Cを参照すると、ポート53が端末デバイスによって送信され、カプセル化解除後に得られるEAPoL開始パケットを取得した後、認証モジュールが、EAP要求パケットを生成し、LISPサポートモジュールが、LISP拡張フォーマットを使用することによってEAP要求パケットをカプセル化し、それから、カプセル化されたEAP要求パケットを認証チャネルを通じて送信する。別の例として、カプセル化解除によってEAP応答パケットを取得した後、認証モジュールは、認証サーバにRADIUSアクセス承認パケットを送信する。図3Cおよび関連する本文の説明を参照されたい。詳細は、本明細書において再び説明されない。
任意で、プロセッサ51のLISPサポートモジュールおよび/または認証モジュールは、ソフトウェアを使用することによって実装される可能性があり、またはマルチコアCPU内のコアを使用することによって実装される可能性がある。
図5に示されるネットワークデバイスは、図2に示された手順でネットワークデバイスの機能を実施するために、図1に示されたシナリオに適用される。図5の各構成要素によって実装される別の追加的な機能、および各構成要素と別のネットワーク要素デバイス(たとえば、アクセスデバイスまたは認証サーバ)との間のインタラクションのプロセスに関しては、図2、図7Aおよび図7B、または図11Aおよび図11Bに示される方法の実施形態におけるネットワークデバイスの説明を参照されたい。詳細は、本明細書において再び説明されない。
図6は、図1に示されたシナリオにおけるアクセスデバイスの概略構造図である。図6に示されるアクセスデバイスは、図2に示された手順でアクセスデバイスの機能を実施するために、ネットワークデバイスに接続される、図2のアクセスデバイスとして働く。図6のアクセスデバイスは、プロセッサ61、転送チップ62、ポート63、およびメモリ64を含む。ポート63は、複数のポートを含む。転送チップ62は、各ポートに接続される。
転送チップ62およびメモリ64は、プロセッサ61とともに同じ物理構成要素に統合される可能性があり、または別々の物理構成要素である可能性がある。転送チップ62およびメモリ64がプロセッサ61とともに同じ物理構成要素(たとえば、マルチコアCPU)に統合されるとき、メモリ64は、CPU内にあり、転送チップ62は、マルチコアCPU内のコアである可能性がある。転送チップ62およびメモリ64がプロセッサ61と独立した別の物理構成要素であるとき、転送チップ62とメモリ64との両方が、プロセッサ61に接続される。転送チップ62は、メモリ64にさらに接続される。
メモリ64が別の物理構成要素であるとき、メモリ64は、ランダムアクセスメモリ(random access memory, RAM)、読み出し専用メモリ(Read-Only Memory, ROM)、消去可能プログラマブル読み出し専用メモリ(erasable programmable read-only memory, EPROM)、3値連想メモリ(ternary content addressable memory, TCAM)、フラッシュメモリ、光学式メモリなどを含むがこれらに限定されない。
メモリ64は、転送テーブルおよびユーザ情報テーブルを記憶するように構成される。
転送チップ62は、メモリ64内の転送テーブルおよびユーザ情報テーブルにアクセスする可能性がある。
上述の構成要素の間の特定の接続媒体は、本出願のこの実施形態において限定されず、たとえば、バスである。
アクセスデバイス上の転送テーブルは、表2と同様であり、本明細書において繰り返して説明されない。ユーザ情報テーブルの各エントリは、端末デバイスのアドレス(MACアドレスまたはIPアドレス)、端末デバイスを使用することによってネットワークにアクセスするユーザのユーザ名、アクセスデバイス上のポートの番号、および端末デバイスの認可情報を記憶する。認可情報は、VLAN IDを含む。表3は、図1のアクセスデバイス12のユーザ情報テーブルのエントリの例である。ユーザ名は、S1であり、「00e0-d26b-8121」は、端末11のMACアドレスであり、「VLAN 10」は、端末11の認可情報であり、S1は、端末11を使用することによってネットワークにアクセスするユーザのユーザ名であり、端末11は、アクセスデバイス12のポートE1/0/0に接続される。
ポート63は、端末デバイスに接続し、ネットワークデバイスに接続するように構成される。
プロセッサ61は、端末デバイスがオンラインになった後に端末デバイスによって送信された認証パケットを受信するとき、ユーザ情報テーブル内で新しいエントリを作成し、端末デバイスのアドレスおよび認証パケットを受信するポートの番号を新しく作成されたエントリに書き込むようにさらに構成される。端末デバイスが認証された後、プロセッサ61は、端末デバイスのアドレスおよび端末デバイスの認可情報を取得し、端末デバイスのアドレスに基づいて表3の対応するエントリを見つけ、認可情報内のVLAN IDをエントリに記憶する。認可情報内のVLAN IDを表3に記憶することは、ポート番号と認可されたVLAN IDとの間の対応を確立すること、言い換えると、ポート番号によって特定されたポートの第1のデフォルトのVLANの値を認可されたVLAN IDに設定することと等価である。
特に、図6に示されるアクセスデバイスに接続されたネットワークデバイスが図3Bに示された方法1で説明された方法を使用することによってVLAN IDを取得する場合、アクセスデバイスが、認証者デバイスである。方法1において、アクセスデバイスのプロセッサ61は、認証サーバによって認証された嘆願者デバイスに割り当てられたVLAN IDを取得するように構成される。ポート63の第1のポートは、ネットワークデバイスに接続され、第1のポートは、VXLANトンネルエンドポイントVTEPデバイス(すなわち、ネットワークデバイス)にLISPパケットを送信するように構成される。LISPパケットは、VLAN IDを含む。LISPパケットは、上述の追加命令である。LISPパケットを別の目的を有するLISPパケットと区別するために、LISPパケットは、パケットタイプインジケータをさらに含む。パケットタイプインジケータは、LISPパケットを受信するポートをVLAN IDによって特定されたVLANに追加するようにVTEPデバイスに命令するために使用される。
端末デバイスが認証された後、プロセッサ61は、認証サーバによって端末デバイスに割り当てられたVLAN IDを認可情報から取得し、第1のLISPパケットをアクセスデバイスに接続されたネットワークデバイスに送信するように第1のポートを制御する。第1のLISPパケットは、端末デバイスの認可されたVLAN IDを含む。たとえば、図3Bを参照すると、第1のポートが認証サーバによって送信されたRADIUSアクセス承認パケットを受信した後、プロセッサ61は、RADIUSアクセス承認パケットから端末デバイスのその他の認可情報、たとえば、VLAN IDおよびグループ識別子などの情報を取得し、LISPを使用することによってネットワークデバイスにVLAN IDを送信するように第1のポートを制御する。任意で、プロセッサ61は、異なる機能モジュールを使用することによって上述の機能を実施する。たとえば、プロセッサ61は、認証モジュールおよびLISPサポートモジュールを含む。認証モジュールは、認証手順に従って端末デバイスの認証プロセスを完了するように構成される。詳細に関しては、図3Bおよび関連する説明を参照されたい。LISPサポートモジュールは、LISP拡張フォーマットに基づいて認可情報内のVLAN IDをカプセル化し、カプセル化されたVLAN IDをネットワークデバイスに送信するように構成される。
任意で、プロセッサ61は、嘆願者デバイスに接続された第2のポートを決定し、認証サーバによって認証された嘆願者デバイスに割り当てられたVLAN IDを取得された後、第2のポートのデフォルトのVLANの値をVLAN IDに設定するようにさらに構成される。第2のポートは、嘆願者デバイスからイーサネット(登録商標)フレームを受信するようにさらに構成される。イーサネット(登録商標)フレームの送信元アドレスは、嘆願者デバイスのMACアドレスである。プロセッサ61は、第2のポートのデフォルトのVLANに基づいてVLAN IDを含むVLANタグをイーサネット(登録商標)フレームに追加し、それから、イーサネット(登録商標)フレームを転送する。
特に、図6に示されるアクセスデバイスに接続されたネットワークデバイスが図3Cに示された方法2で説明された方法を使用することによってVLAN IDを取得する場合、ネットワークデバイスが、認証者デバイスである。ポート63の第1のポートは、端末デバイスに接続され、第1のポートは、端末デバイスから認証パケットを受信するように構成される。端末デバイスは、嘆願者デバイスである。プロセッサ61は、第1のポートと認証パケット内の嘆願者デバイスのMACアドレスとの間の対応を記録するように構成される。ポート63の第2のポートは、ネットワークデバイスに接続され、第2のポートは、ネットワークデバイスに認証パケットを送信するように構成される。ネットワークデバイスは、認証者デバイスおよびVXLANトンネルエンドポイントVTEPデバイスである。第2のポートは、ネットワークデバイスからバインディング命令を受信するようにさらに構成される。バインディング命令は、嘆願者デバイスのアドレス(IPアドレスまたはMACアドレス)およびVLAN IDを含む。プロセッサ61は、対応と、嘆願者デバイスの、バインディング命令内のアドレスとに基づいて第1のポートのデフォルトのVLANの値をVLAN IDに設定するようにさらに構成される。
任意で、認証パケットおよびバインディング命令は、制御プレーンのプロトコルを使用することによってカプセル化される。任意で、制御プレーンのプロトコルは、LISPである。この場合、第2のポートは、ネットワークデバイスに第1のLISPパケットを送信する。端末デバイスからの認証パケットは、第1のLISPパケットにカプセル化され、端末デバイスは、アクセスデバイスを使用することによってネットワークにアクセスする。第2のポート、ネットワークデバイスに接続されたポートは、ネットワークデバイスから第2のLISPパケットを受信するようにさらに構成される。バインディング命令、すなわち、嘆願者デバイスのMACアドレスおよびVLAN IDは、第2のLISPパケットにカプセル化される。
任意で、プロセッサ61は、異なる機能モジュールを使用することによって上述の機能を実施する。たとえば、プロセッサ61は、LISPサポートモジュールおよび認証モジュールを含む。LISPサポートモジュールは、LISP拡張フォーマットに基づいて端末デバイスからの認証パケットをカプセル化し、カプセル化された認証パケット(たとえば、EAPoL開始パケット、EAP応答、またはEAPチャレンジ応答)を認証チャネルを通じてネットワークデバイスに送信し、LISPパケットから認証パケット(たとえば、EAP要求またはEAPチャレンジ要求)を得るためにネットワークデバイスによって送信された受信されたLISPパケットをカプセル化解除し、それから、認証パケットを端末デバイスに送信するように構成される。LISPサポートモジュールは、第2のポートがLISP拡張フォーマットを使用することによってネットワークデバイスによりカプセル化されるVLAN IDを受信した後、VLAN IDを取得するためにカプセル化解除を実行するようにさらに構成される。認証モジュールは、カプセル化解除後に得られた認可情報をユーザ情報テーブルに記憶するように構成される。
任意で、プロセッサ61のLISPサポート機能モジュールおよび認証モジュールは、ソフトウェアを使用することによって実装される可能性があり、またはマルチコアCPU内のコアを使用することによって実装される可能性がある。
任意で、第1のポートは、端末デバイスからイーサネット(登録商標)フレームを受信するようにさらに構成される。イーサネット(登録商標)フレームの送信元アドレスは、嘆願者デバイスのMACアドレスである。プロセッサ61は、第1のポートのデフォルトのVLANに基づいてVLAN IDを含むVLANタグをイーサネット(登録商標)フレームに追加し、それから、イーサネット(登録商標)フレームを転送するようにさらに構成される。
図6に示されるアクセスデバイスは、図2に示された手順でアクセスデバイスの機能を実施するために、図1に示されたシナリオに適用される。図6の各構成要素によって実装される別の追加的な機能、および各構成要素と別のネットワーク要素デバイス(たとえば、ネットワークデバイス、端末デバイス、または認証サーバ)との間のインタラクションのプロセスに関しては、図2、図7Aおよび図7B、または図11Aおよび図11Bに示される方法の実施形態におけるアクセスデバイスの説明を参照されたい。詳細は、本明細書において再び説明されない。
図7Aおよび図7Bは、本出願の実施形態によるVXLAN実装方法の概略図である。図7Aおよび図7Bに示される方法においては、認証者デバイスが、アクセスデバイスである。端末デバイスを認証し、端末デバイスのために認証サーバによって設定される認可情報を取得した後、アクセスデバイスは、拡張されたLISPパケットを使用することによってネットワークデバイスに端末デバイスの認可されたVLAN IDを送信し、その結果、ネットワークデバイスは、端末の認可されたVLAN IDを得る。ネットワークデバイスは、VLAN IDによって特定されたVLANにアクセスデバイスに接続されたポートを追加する。その後、アクセスデバイスからイーサネット(登録商標)フレームを受信した後、ネットワークデバイスは、イーサネット(登録商標)フレーム内のVLAN IDに基づいて対応するVNIに関してVLAN IDからVNIへのマッピングを検索し、VXLANパケットを得るためにイーサネット(登録商標)フレームにVXLANヘッダを追加する。VXLANヘッダ内のVNIフィールドは、VNIを含む。図7Aおよび図7Bの応用シナリオは、図1に示されており、認証プロセスは、図3Bに示されている。
図7Aおよび図7Bに示される方法は、以下のステップ71からステップ717を含む。
ステップ71:マネージャが、ネットワークデバイス13上でVLAN IDからVNIへのマッピングを構成する。同様に、マネージャは、ネットワークデバイス23上でVLAN IDからVNIへのマッピングを構成する可能性もある。任意で、ネットワークデバイス13およびネットワークデバイス23上で、同じVNIにマッピングされるVLAN IDは、同じである可能性があり、または異なる可能性がある。
ステップ72:端末11が、アクセスデバイス12を使用することによってオンラインになり、端末11の認証手順をトリガする。端末11が認証された後、認証サーバ50が、端末11の認可情報をアクセスデバイス12に送信する。認可情報は、端末11のVLAN識別子「VLAN 10」を含む。任意で、認可情報は、端末11のグループ識別子「Group 1」をさらに含む。端末11のグループ識別子は、端末11のアクセスを制御するために使用される。特定の認証プロセスは、図3Bに示されており、本明細書において繰り返されない。
ステップ73:アクセスデバイス12が、ポートE1/0/1を通じて端末11に接続し、アクセスデバイス12が、ポートE1/0/1のデフォルトのVLANをVLAN 10に設定する。
ステップ74:アクセスデバイス12が、第1のLISPパケットをネットワークデバイス13に送信する。第1のLISPパケットは、端末11の認可されたVLAN ID、すなわち、VLAN 10を含む。
本出願のこの実施形態において、ネットワークデバイス13は、ポート番号E1/0/0によって示されたポートを通じてアクセスデバイス12に接続される。
LISPパケットを使用することによってVLAN 10を運ぶために、既存のLISPパケットが、拡張される必要がある。理解を容易にするために、まず、LISPプロトコルのフィールド構造が、図8に示され、それから、LISPプロトコルの拡張方法が、図9を参照して説明される。図8のフィールドの説明に関しては、既存の規格文書、たとえば、RFC 6830を参照されたい。詳細は、本明細書において説明されない。
本出願のこの実施形態において、アクセスデバイス12によってネットワークデバイス13に送信される第1のLISPパケットに関して、図8の「送信元ルーティングロケータ(Source Routing Locator)」は、アクセスデバイス12のLISPアドレスであり、「送信先ルーティングロケータ(Destination Routing Locator)」は、ネットワークデバイス13のLISPアドレスであり、「送信元ポート」に書き込まれる内容は、静的に構成されるか、またはLISPパケットの送信者によって動的に生成され、「送信先ポート」は、4342である。同様に、ネットワークデバイス13によってアクセスデバイス12に送信されるLISPパケットに関して、「送信元ルーティングロケータ」は、ネットワークデバイス13のLISPアドレスであり、「送信先ルーティングロケータ」は、アクセスデバイス12のLISPアドレスであり、「送信先ポート」の値は、アクセスデバイス12によってネットワークデバイス13に送信されるLISPパケット内の「送信元ポート」の値であり、「送信元ポート」は、4342である。
この実施形態における第1のLISPパケットは、主に、図8の「LISPメッセージ」部分を拡張し、定義することによって実装される。詳細が、図9に示される。
この実施形態において、「LISPメッセージ」部分は、少なくともVLAN 10を運ぶ。
任意で、アクセスデバイスおよびネットワークデバイスがLISPを使用することによってさまざまな種類の異なる情報を互いに送信するとき、受信者がLISPパケット内で運ばれる情報を特定することができるように、対応するパケットタイプインジケータが、各種類の情報に割り当てられる可能性がある。図9に示されるように、拡張されたLISPパケットの「LISPメッセージ」部分は、このLISPパケットがVLAN IDを含むことを示すために使用されるパケットタイプインジケータを含む。任意で、パケットタイプインジケータは、整数によって表され、タイプフィールドに記憶される。この実施形態においては、このLISPパケットがVLAN IDを含むことを示すために整数「5」が使用される。実際、アクセスデバイスとネットワークデバイスとの両方が、LISPパケットの目的を判定するために予め定義されたフォーマットに基づいてパケットタイプインジケータを特定することができるとすると、「LISPメッセージ」部分内のパケットタイプインジケータの値およびパケットタイプインジケータの位置が、柔軟に設定される可能性がある。第1のパケットタイプインジケータによって、ネットワークデバイスは、LISPパケットから端末の認可されたVLAN IDを取得するために、端末の認可されたVLAN IDをカプセル化するために使用されたLISPパケットを特定することができる。
任意で、解析を容易にするために、「LISPメッセージ」部分内のレコードフィールドが、VLAN IDを記録するために使用される可能性がある。
任意で、オンラインになった後、端末11は、さまざまな理由で、たとえば、過負荷(charging excess)のためにネットワークから切断される可能性があり、比較的長時間、アクセスデバイス12を使用することによってネットワークにアクセスしない。この場合、アクセスデバイス12は、ポート番号E1/0/1のデフォルトのVLANを別のVLAN IDに設定する可能性がある。ネットワークデバイス13の記憶空間を節約するために、アクセスデバイス12は、VLANからポートを削除するようにネットワークデバイス13に適切に命令する必要がある。この要件のために、本出願のこの実施形態においては、操作インジケータが、「LISPメッセージ」部分内でさらに運ばれる可能性がある。操作インジケータは、VLANにポートを追加するように拡張されたLISPパケットの受信者に命令するために使用されるか、またはVLANからポートを削除するように拡張されたLISPパケットの受信者に命令する可能性がある。
この実施形態においては、端末11が認証された後、アクセスデバイス12によってネットワークデバイス13に送信される第1のLISPパケット内の「LISPメッセージ」部分が、第1の操作インジケータを運び、第1の操作インジケータは、VLANにポートを追加するように受信者に命令するために使用される。第1のLISPパケットが送信された後、第2のLISPパケットが、さらに送信される可能性がある。第2のLISPパケットは、第1のLISPパケットのフォーマットと同様のフォーマットである。違いは、第2のLISPパケット内の「LISPメッセージ」部分が第2の操作インジケータを運ぶことであり、第2の操作インジケータは、VLANからポートを削除するように受信者に命令するために使用される。任意で、操作インジケータは、図9に示されるFフィールド内で運ばれる。たとえば、操作インジケータは、整数であり、0は、VLANにポートを追加するように命令し、1は、VLANからポートを削除するように命令する。
任意で、アクセスデバイス12が比較的大量の端末デバイスに接続されるとき、アクセスデバイス12に接続された複数の端末デバイスが、短時間のうちにすべてオンラインになり、認証される可能性がある。アクセスデバイス12とネットワークデバイス13との間の通信の効率を改善するために、複数の端末デバイスの認可されたVLAN IDが、同じLISPパケット内で運ばれる可能性がある。この場合、図9に示されるように、レコード数フィールドが、第1のLISPパケット内の「LISPメッセージ」部分に追加される可能性があり、フィールドの値が、LISPパケット内で運ばれるレコードフィールドの量を示すために使用される。
任意で、アクセスデバイス12は、第1のLISPパケットにその他の情報をさらに追加する可能性がある。たとえば、レコードフィールドは、アドレスのタイプおよび端末11のアドレスを運ぶ。たとえば、端末デバイスのアドレスの種類は、少なくとも、IPv4アドレス、IPv6アドレス、およびMACアドレスを含む。たとえば、番号1が、IPv4アドレスを表すために使用され、番号2が、IPv6アドレスを表すために使用され、番号16389が、MACアドレスを表すために使用される。この実施形態においては、アドレスタイプインジケータが、レコードフィールドのAFIサブフィールド内で運ばれる。アクセスデバイス12は、レコードフィールドのEIDサブフィールドに端末11のアドレスを追加する。
ステップ75:ネットワークデバイス13が、ポートE1/0/0を通じて第1のLISPパケットを受信し、第1のLISPパケットから端末11の認可されたVLAN ID、すなわち、VLAN 10を取得する。
ステップ76:ネットワークデバイス13が、VLAN 10に対応するVLANにポートE1/0/0を追加する。
ステップ77:端末11は、端末21にアクセスし、アクセスデバイス12は、端末11によって送信されたイーサネット(登録商標)フレームをポートE1/0/1を通じて受信する。
ステップ78:アクセスデバイス12が、ポートE1/0/1のデフォルトのVLANがVLAN 10であることを記憶されたユーザ情報テーブルに基づいて発見し、端末11によって送信されたイーサネット(登録商標)フレーム内のVLANタグフィールドにVLAN 10を追加する。
ステップ79:アクセスデバイス12が、VLAN 10が追加されるVLANタグフィールドを有するイーサネット(登録商標)フレームをネットワークデバイス13に送信する。
ステップ710:ネットワークデバイス13が、ポートE1/0/0を通じてイーサネット(登録商標)フレームを受信し、イーサネット(登録商標)フレームに含まれるVLAN 10に基づいて(表1に示された)記憶されたマッピング関係テーブルに問い合わせることによって、VLAN 10がマッピングされるVNI 1000を取得する。
ステップ711:ネットワークデバイス13が、VXLANパケットを得るために、受信されたイーサネット(登録商標)フレームにVXLANヘッダを追加し、VXLANヘッダ内のVNIフィールドは、VNI 1000を含む。VXLANヘッダの構造が、図10に示される。
ステップ712:ネットワークデバイス13が、ネットワークデバイス23にVXLANパケットを送信する。
端末21によって送信されたパケットをネットワークデバイス23によって処理するプロセスは、ネットワークデバイス13のプロセスと同様であり、本明細書において繰り返し説明されない。
図11Aおよび図11Bは、本出願の実施形態による別のVXLAN実装方法の概略図である。図11Aおよび図11Bに示される方法においては、認証者デバイスが、ネットワークデバイスである。認証チャネルが、認証パケットを送信するためにアクセスデバイスとネットワークデバイスとの間で確立される。その後、アクセスデバイスからイーサネット(登録商標)フレームを受信した後、ネットワークデバイスは、VLAN IDからVNIへのマッピングおよびイーサネット(登録商標)フレーム内のVLAN IDに基づいてイーサネット(登録商標)フレームにVXLANヘッダを追加する。VXLANヘッダは、イーサネット(登録商標)フレーム内のVLAN IDがマッピングされるVNIを含む。図11Aおよび図11Bの応用シナリオは、図1に示されており、認証プロセスは、図3Cに示されている。
図11Aおよび図11Bに示される方法は、以下のステップ111からステップ1118を含む。
ステップ111:マネージャが、ネットワークデバイス13上でVLAN IDからVNIへのマッピングを構成する。同様に、マネージャは、ネットワークデバイス23上でVLAN IDからVNIへのマッピングを構成する可能性もある。任意で、ネットワークデバイス13およびネットワークデバイス23上で、同じVNIにマッピングされるVLAN IDは、同じである可能性があり、または異なる可能性がある。
ステップ112:ネットワークマネージャが、アクセスデバイス12とネットワークデバイス13との間のLISP通信のためにアクセスデバイス12上でネットワークデバイス13のIPアドレスを構成する。同様に、ネットワークマネージャは、アクセスデバイス22とネットワークデバイス23との間のLISP通信のためにアクセスデバイス22上でネットワークデバイス23のIPアドレスを構成する。
ステップ113:端末11が、アクセスデバイス12を使用することによってオンラインになり、端末11の認証手順をトリガする。アクセスデバイス12は、端末11によって送信された認証パケットをポートE1/0/1を通じて受信する。
アクセスデバイス12は、ユーザ情報テーブル内でエントリを作成する。エントリは、認証パケットに含まれる端末11のMACアドレス00e0-d26b-8121と、認証パケットを受信するポートE1/0/1とを含む。異なる認証手順において、認証手順をトリガするために端末11によって送信される認証パケットが異なることは、理解されるであろう。任意で、たとえば、802.1X規格において、端末11によって送信される認証パケットは、(図3Cに示されるように)EAPoL開始パケットである。
ステップ114:アクセスデバイス12が、端末11によって送信された認証パケットに対してLISPのカプセル化を実行する。図7Aおよび図7Bに示された手順においてカプセル化によって得られたLISPパケットをLISPパケットと区別するために、カプセル化によって得られた本明細書のLISPパケットは、第3のLISPパケットと呼ばれる。アクセスデバイス12は、第3のLISPパケットをネットワークデバイス13に送信する。
LISPを使用することによって認証パケットをカプセル化するために、LISPパケットが、拡張される必要がある。LISPプロトコルのフィールド構造が、図8に示されている。図8のフィールドの説明に関しては、既存の規格文書、たとえば、RFC 6830を参照されたい。詳細は、本明細書において説明されない。この実施形態における第3のLISPパケットは、主に、図8の「LISPメッセージ」部分を拡張し、定義することによって実装される。詳細が、図12に示される。
この実施形態において、端末11によって送信された認証パケットEAPoL開始は、第3のLISPパケット内の「LISPメッセージ」部分にカプセル化される。図12に示されるように、第3のLISPパケット内の「LISPメッセージ」部分は、パケットタイプインジケータを含む。パケットタイプインジケータは、このLISPパケットが認証される嘆願者デバイスからの認証パケットを含むことを示す。任意で、パケットタイプインジケータは、整数によって表され、タイプフィールドに記憶される。この実施形態においては、整数「6」が、このLISPパケットが認証される嘆願者デバイスからの認証パケットを含むことを示すために使用される。実際、アクセスデバイスとネットワークデバイスとの両方が、LISPパケットの目的を判定するために予め定義されたフォーマットに基づいてパケットタイプインジケータを特定することができるとすると、「LISPメッセージ」部分内のパケットタイプインジケータの値およびパケットタイプインジケータの位置が、柔軟に設定される可能性がある。パケットタイプインジケータによって、ネットワークデバイスおよびアクセスデバイスは、端末認証プロセスをより上手く支援するために、認証パケットをカプセル化するために使用されたLISPパケットを特定することができる。
任意で、図12に示されるように、アクセスデバイス12は、端末11によって送信された認証パケットを「LISPメッセージ」部分内の「元のパケット」フィールドにカプセル化する。
任意で、「LISPメッセージ」部分は、端末デバイスの観点から既存の認証手順と違いがないように、既存の認証手順とのより高い互換性を実装するためにポート番号を運ぶ可能性がある。特に、端末デバイスによってネットワーク側に送信される認証パケット(たとえば、EAPoL開始およびその後送信されたEAP応答またはEAPチャレンジ応答)に関して、アクセスデバイス12は、アクセスデバイス12上のポートの番号を「LISPメッセージ」部分に追加する。ポート番号によって示されるポートは、アクセスデバイス12が端末11によって送信された認証パケットを受信するときに使用されるポートである。任意で、ポート番号は、図12の「ポート」フィールド内で運ばれる。
ステップ115:ネットワークデバイス13が、第3のLISPパケットにカプセル化された認証パケット、すなわち、端末11によって送信された認証パケットを得るために、アクセスデバイス12によって送信された第3のLISPパケットをカプセル化解除する。
アクセスデバイス12とネットワークデバイス13との両方が、図12に示されるLISPパケット拡張方法をサポートする。ネットワークデバイス13は、認証パケットを得るために上述のカプセル化プロセスに対応するカプセル化解除プロセスを実行する可能性がある。特に、ネットワークデバイス13は、図12に示されるフォーマットの拡張されたLISPパケット内の「LISPメッセージ」部分からカプセル化された認証パケットを取得する。
ステップ116:ネットワークデバイス13が、認証パケット内の嘆願者デバイスのアドレスと第3のLISPパケットを受信するポートとの間の対応を記録する。この実施形態において、ネットワークデバイス13は、ポートE1/0/0によってアクセスデバイス12に接続され、ポートE1/0/0を通じてアクセスデバイス12からパケットを受信する。認証パケット内の認証される嘆願者デバイスのアドレスは、端末11のMACアドレス00e0-d26b-8121である。したがって、ネットワークデバイスは、端末11のMACアドレス00e0-d26b-8121とポートE1/0/0との間の対応を記録する。
ステップ117:ネットワークデバイス13が、カプセル化解除によって得られた認証パケットに基づいて端末11の認証プロセスを実行する。
特に、認証プロセスにおける複数回のパケット交換において、ネットワークデバイス13は、カプセル化解除後に得られたパケットを認証手順に従って処理し、端末11に送信される認証パケットを拡張されたフィールドフォーマットのLISPパケットにカプセル化し、カプセル化によって得られたLISPパケットをアクセスデバイス12に送信する。
たとえば、図3Cを参照すると、端末11によって送信されたEAPoL開始パケットを得るためにアクセスデバイス12によって送信された第3のLISPパケットをカプセル化解除した後、ネットワークデバイス13は、EAP要求パケットを生成し、EAP要求パケットをLISPパケットの「LISPメッセージ」部分にカプセル化し、カプセル化によって得られたLISPパケットをアクセスデバイス12に送信する。
別の例として、図3Cを参照すると、EAP応答パケットを取得するためにアクセスデバイス12によって送信されたLISPパケットをカプセル化解除した後、ネットワークデバイス13は、認証サーバにRADIUSアクセス要求パケットを送信する。認証サーバから返されたRADIUSアクセスチャレンジパケットを受信した後、ネットワークデバイス13は、RADIUSアクセスチャレンジパケットからEAPチャレンジ要求パケットを抽出し、EAPチャレンジ要求パケットをLISPパケット内の「LISPメッセージ」部分にカプセル化し、カプセル化後に得られたLISPパケットをアクセスデバイス12に送信する。
別の例として、図3Cを参照すると、EAPチャレンジ応答パケットを取得するためにアクセスデバイス12によって送信された拡張されたLISPパケットをカプセル化解除した後、ネットワークデバイス13は、認証サーバにRADIUSアクセス要求パケットを送信する。認証サーバから返されたRADIUSアクセス承認パケットを受信した後、ネットワークデバイス13は、RADIUSアクセス承認パケットからEAP成功パケットを抽出し、EAP成功パケットをLISPパケット内の「LISPメッセージ」部分にカプセル化し、カプセル化後に得られたLISPパケットをアクセスデバイス12に送信する。
認証パケット(たとえば、EAP要求、EAPチャレンジ要求、またはEAP成功)に対してLISPのカプセル化を実行するプロセスにおいて、ネットワークデバイス13は、認証パケットをLISPパケット内の「LISPメッセージ」部分にカプセル化する。図12に示されるように、拡張されたLISPパケットの「LISPメッセージ」部分は、このLISPパケットが認証サーバから認証パケットを送信するために使用されることを示すために使用されるパケットタイプインジケータを含む。任意で、パケットタイプインジケータは、整数によって表され、タイプフィールドに記憶される。このLISPパケットが認証サーバから認証パケットを送信するために使用されることを示す整数は、このLISPパケットが認証される嘆願者デバイスから認証パケットを送信するために使用されることを示す整数と同じである可能性がありまたは異なる可能性がある。この実施形態においては、同じ整数「6」が、このLISPパケットが認証サーバから認証パケットを送信するために使用されることを示すために使用される。言い換えると、認証パケットが認証される嘆願者デバイスからのものであるかまたは認証サーバからのものであるかに関係なく、送信される認証パケットを示すために同じパケットタイプインジケータが使用される可能性がある。
任意で、図12に示されるように、アクセスデバイス12は、端末11に送信される認証パケットを「LISPメッセージ」部分内の「元のパケット」フィールドにカプセル化する。
任意で、「LISPメッセージ」部分は、端末デバイスの観点から既存の認証手順と違いがないように、既存の認証手順とのより高い互換性を実装するためにポート番号を運ぶ可能性がある。特に、ネットワークデバイスによって端末デバイスに送信される認証パケット(たとえば、EAP要求、EAPチャレンジ要求、またはEAP成功)に関して、ネットワークデバイス13は、アクセスデバイス12上のポートの番号を「LISPメッセージ」部分に追加する。ポート番号によって示されるポートは、アクセスデバイス12がカプセル化解除後に得られた認証パケットを端末11に送信するときに使用されるポートである。任意で、ポート番号は、図12の「ポート」フィールド内で運ばれる。
ステップ118:端末11を認証した後、ネットワークデバイス13が、認証サーバ50によって送信されたRADIUSアクセス承認パケットから端末11のMACアドレス00e0-d26b-8121および認可情報を取得し、認可情報から端末11の認可されたVLAN ID、すなわち、VLAN 10を取得する。
ステップ119:ネットワークデバイス13が、ステップ116において記録された対応と、認可情報内のMACアドレス00e0-d26b-8121およびVLAN 10とに基づいてVLAN 10にポートE1/0/0を追加する。
ステップ1110:ネットワークデバイス13が、アクセスデバイス12に第4のLISPパケットを送信する。第4のLISPパケットは、端末11のMACアドレス00e0-d26b-8121および認可情報を運び、認可情報は、少なくともVLAN IDを含む。
第4のLISPパケットを使用することによって端末11のMACアドレス00e0-d26b-8121および認可情報を運ぶために、LISPパケットは、拡張される必要がある。この実施形態においては、図8の「LISPメッセージ」部分が、拡張され、定義される。詳細が、図13に示される。
この実施形態において、第4のLISPパケット内の「LISPメッセージ」部分は、少なくとも、端末11のVLAN識別子「VLAN 10」、ならびに端末11のMACアドレス00e0-d26b-8121およびIPアドレス100.1.1.1のうちの少なくとも一方を運ぶ必要がある。
図13に示されるように、第4のLISPパケット内の「LISPメッセージ」部分は、このLISPパケットが端末デバイスのMACアドレスおよびVLAN IDを含むことを示すために使用されるパケットタイプインジケータを含む。任意で、パケットタイプインジケータは、整数によって表され、タイプフィールドに記憶される。たとえば、整数「7」が、このLISPパケットが端末デバイスのMACアドレスおよび認可情報を送信するために使用されることを示すために使用される。実際、アクセスデバイスとネットワークデバイスとの両方が、LISPパケットの目的を判定するために予め定義されたフォーマットに基づいてパケットタイプインジケータを特定することができるとすると、「LISPメッセージ」部分内のパケットタイプインジケータの値およびパケットタイプインジケータの位置が、柔軟に設定される可能性がある。パケットタイプインジケータによって、アクセスデバイスは、LISPパケットからMACアドレスおよび認可情報を取得し、ユーザ情報テーブルを更新するためにMACアドレスおよび認可情報をカプセル化するために使用されたLISPパケットを特定することができる。
任意で、解析を容易にするために、「LISPメッセージ」部分内のレコードフィールドが、端末のアドレスとVLAN識別子との間の対応を記録するために使用される可能性がある。たとえば、レコードフィールドは、端末11のアドレスとVLAN識別子との間の対応を記録するために使用される可能性がある。より詳細には、端末11のアドレスは、レコードフィールドのエンドポイント識別子(Endpoint ID, EID)サブフィールド内で運ばれ、VLAN識別子「VLAN 10」は、レコードフィールドのVLANサブフィールド内で運ばれる。任意で、認証サーバ50が端末11を認可しない場合、VLANサブフィールドの値は、0に設定される。
任意で、アクセスデバイスは、第4のLISPパケットを使用することによって端末のアドレスの種類をさらに通知される可能性があり、その結果、アクセスデバイスは、対応するプロトコルスタックを使用することによって解析を直接実行し、それによって、ユーザ端末のアドレスを取得するためにアクセスデバイスによって拡張されたLISPパケットを解析する効率と、ユーザ情報テーブルのその後の検索の効率とを高める。
端末デバイスのアドレスの種類は、少なくとも、IPv4アドレス、IPv6アドレス、およびMACアドレスを含む。異なるアドレスタイプインジケータが、端末デバイスのアドレスの対応する種類を表すために使用される可能性がある。たとえば、数字(digit)が、端末デバイスのアドレスの対応する種類を表すために使用される。たとえば、数字1が、IPv4アドレスを表すために使用され、数字2が、IPv6アドレスを表すために使用され、数字16389が、MACアドレスを表すために使用される。この実施形態においては、アドレスタイプインジケータが、図13に示されるように、レコードフィールドのAFIサブフィールド内で運ばれる。
任意で、アクセスデバイスは、第4のLISPパケットを使用することによって端末デバイスの認証の結果をさらに通知される可能性がある。認証結果インジケータの異なる値が、端末デバイスの認証の結果を示すために使用される。たとえば、整数0が、認証が成功することを示すために使用され、整数1が、認証が失敗することを示すために使用される。この実施形態においては、認証結果インジケータが、図13に示されるように、レコードフィールドのSサブフィールド内で運ばれる。
任意で、アクセスデバイス12が比較的大量の端末デバイスに接続されるとき、アクセスデバイス12に接続された複数の端末デバイスが、短時間のうちにすべてオンラインになり、認証される可能性がある。アクセスデバイス12とネットワークデバイス13との間の通信の効率を高めるために、端末デバイスと認可情報との間の複数の対応が、同じ第4のLISPパケット内で運ばれる可能性がある。この場合、図13に示されるように、レコード数フィールドが、第4のLISPパケット内の「LISPメッセージ」部分に追加される可能性があり、フィールドの値が、LISPパケット内で運ばれるレコードフィールドの量を示すために使用される。
ステップ1111:第4のLISPパケットを受診した後、アクセスデバイス12が、第4のLISPパケットから端末11のMACアドレス00e0-d26b-8121およびVLAN 10を取得し、端末11の認可情報を記憶する。
ステップ1112:アクセスデバイス12が、ポートE1/0/1のデフォルトのVLANをVLAN 10に設定する。
任意で、アクセスデバイス12は、第4のLISPパケットから端末11のMACアドレス00e0-d26b-8121および認可情報を取得するために、図13に示されるフォーマットを使用することによって第4のLISPパケットを解析する。アクセスデバイス12は、端末11のMACアドレス00e0-d26b-8121に基づいて、表3に示されたユーザ情報テーブル内の対応するエントリを見つけ、第4のLISPパケットを解析することによって得られた認可情報、たとえば、VLAN識別子「VLAN 10」をエントリに追加する。
端末11のMACアドレス00e0-d26b-8121を含むエントリは、端末11に接続されたポートE1/0/1をさらに含む。VLAN 10をエントリに追加することは、ポートE1/0/1のデフォルトのVLANをVLAN 10に設定することを意味する。
ステップ1113:端末11が、端末21にアクセスし、アクセスデバイス12が、端末11によって送信されたイーサネット(登録商標)フレームをポートE1/0/1を通じて受信する。
ステップ1114:アクセスデバイス12が、記憶されたユーザ情報テーブルに基づいてポートE1/0/1のデフォルトのVLAN 10を発見し、端末11によって送信されたイーサネット(登録商標)フレーム内のVLANタグフィールドにVLAN 10を追加する。
ステップ1115:アクセスデバイス12が、VLAN 10が追加されるVLANタグフィールドを有するイーサネット(登録商標)フレームをネットワークデバイス13に送信する。
ステップ1116:ネットワークデバイス13が、ポートE1/0/0を通じてイーサネット(登録商標)フレームを受信し、イーサネット(登録商標)フレームに含まれるVLAN 10に基づいてVLAN IDからVNIへの(表1に示された)記憶されたマッピングを問い合わせることによって、VLAN 10がマッピングされるVNI 1000を取得する。
ステップ1117:ネットワークデバイス13が、VXLANパケットを得るために、受信されたイーサネット(登録商標)フレームにVXLANヘッダを追加し、VXLANヘッダ内のVNIフィールドは、見つかったVNI 1000を含む。
ステップ1118:ネットワークデバイス13が、ネットワークデバイス23にVXLANパケットを送信する。
端末21によって送信されたパケットをネットワークデバイス23によって処理するプロセスは、ネットワークデバイス13のプロセスと同様であり、本明細書において繰り返し説明されない。
本明細書の実施形態は、VXLAN実装システムをさらに提供する。システムは、ネットワークデバイスおよびアクセスデバイスを含む。ネットワークデバイスは、アクセスデバイスに接続され、ネットワークデバイスは、VXLAN機能をサポートする。端末デバイスは、アクセスデバイスを使用することによってネットワークにアクセスする。システムの構成が、図1に示されている。ネットワークデバイスおよびアクセスデバイスの動作手順および構造に関しては、上述の実施形態の説明を参照されたい。
上述の実施形態のすべてまたは一部は、ソフトウェア、ハードウェア、ファームウェア、またはこれらの任意の組合せによって実装される可能性がある。ソフトウェアを使用することによって実装されるとき、実施形態のすべてまたは一部は、コンピュータプログラム製品の形態で実装される可能性がある。コンピュータプログラム製品は、1つまたは複数のコンピュータ命令を含む。コンピュータプログラム命令がコンピュータにロードされ、実行されるとき、本発明の実施形態による手順または機能のすべてまたは一部が、生成される。コンピュータは、多目的コンピュータ、専用コンピュータ、コンピュータネットワーク、または別のプログラミング可能な装置である可能性がある。コンピュータ命令は、コンピュータ可読ストレージ媒体に記憶される可能性があり、またはコンピュータ可読ストレージ媒体から別のコンピュータ可読ストレージ媒体に送信される可能性がある。たとえば、コンピュータ命令は、1つのウェブサイト、コンピュータ、サーバ、またはデータセンターから別のウェブサイト、コンピュータ、サーバ、またはデータセンターに有線(たとえば、同軸ケーブル、光ファイバ、もしくはdigital subscriber line(DSL))またはワイヤレス(たとえば、赤外線、ラジオ波、もしくはマイクロ波)の方法で送信される可能性がある。コンピュータ可読ストレージ媒体は、コンピュータによってアクセスされ得る任意の使用可能な媒体、または1つもしくは複数の使用可能な媒体を統合するサーバもしくはデータセンターなどのデータストレージデバイスである可能性がある。使用可能な媒体は、磁気式媒体(たとえば、フロッピーディスク、ハードディスク、もしくは磁気テープ)、光学式媒体(たとえば、DVD)、半導体媒体(たとえば、solid state disk(SSD))などである可能性がある。
10 VLAN
11 端末
12 アクセスデバイス
13 ネットワークデバイス
20 VLAN
21 端末
22 アクセスデバイス
23 ネットワークデバイス
30 コアデバイス
40 ネットワーク管理デバイス
50 認証サーバ
51 プロセッサ
52 転送チップ
53 ポート
54 メモリ
61 プロセッサ
62 転送チップ
63 ポート
64 メモリ
1000 VNI

Claims (25)

  1. 仮想拡張可能ローカルエリアネットワーク(VXLAN)実装方法であって、
    仮想ローカルエリアネットワーク識別子(VLAN)IDからVXLANネットワーク識別子(VNI)へのマッピングをネットワークデバイスによって取得するステップと、
    アクセスデバイスによって転送されたイーサネット(登録商標)フレームをポートを通じて前記ネットワークデバイスによって受信するステップであって、前記イーサネット(登録商標)フレーム内のVLANタグフィールドが、前記VLAN IDを含む、ステップと、
    前記ネットワークデバイスによって、VXLANパケットを得るために、前記VLAN IDおよび前記マッピングに基づいて前記イーサネット(登録商標)フレームにVXLANヘッダを追加するステップであって、前記VXLANヘッダ内のVNIフィールドが、前記VNIを含む、ステップと、
    前記ネットワークデバイスによって前記VXLANパケットを送信するステップとを含む、方法。
  2. 前記ネットワークデバイスによって前記ポートを通じて前記アクセスデバイスから第1の認証パケットを受信するステップであって、前記第1の認証パケットが、嘆願者デバイスに関する認証において使用される、ステップと、
    前記ポートと前記第1の認証パケット内の嘆願者デバイスのアドレスとの間の対応を前記ネットワークデバイスによって記録するステップと、
    前記ネットワークデバイスによって認証サーバから第2の認証パケットを受信するステップであって、前記第2の認証パケットが、前記嘆願者デバイスのアドレスおよび前記VLAN IDを含む、ステップと、
    前記ネットワークデバイスによって、前記第2の認証パケット内の前記嘆願者デバイスのアドレスおよび前記VLAN ID、ならびに前記嘆願者デバイスのアドレスと前記ポートとの間の前記記録された対応に基づいて、前記VLAN IDによって特定されたVLANに前記ポートを追加するステップとをさらに含む請求項1に記載の方法。
  3. 前記ネットワークデバイスによって前記アクセスデバイスにバインディング命令を送信するステップであって、前記バインディング命令が、前記嘆願者デバイスのアドレスおよび前記VLAN IDを含む、ステップをさらに含む請求項2に記載の方法。
  4. 前記ネットワークデバイスによって前記ポートを通じて前記アクセスデバイスから追加命令を受信するステップであって、前記追加命令が、前記VLAN IDを含む、ステップと、
    前記ネットワークデバイスによって、前記VLAN IDによって特定されたVLANに前記ポートを追加するステップとをさらに含む請求項1に記載の方法。
  5. 前記追加命令が、第1のロケータ/識別子分離プロトコルLISPパケットである請求項4に記載の方法。
  6. 仮想拡張可能ローカルエリアネットワーク(VXLAN)実装方法であって、
    認証サーバによって認証された嘆願者デバイスに割り当てられた仮想ローカルエリアネットワーク識別子(VLAN ID)を認証者デバイスによって取得するステップと、
    前記認証者デバイスによってVXLANトンネルエンドポイント(VTEP)デバイスにロケータ/識別子分離プロトコル(LISP)パケットを送信するステップであって、前記LISPパケットが、前記VLAN IDを含む、ステップとを含む、方法。
  7. 前記嘆願者デバイスのMACアドレスに接続されたポートを前記認証者デバイスによって決定するステップと、
    前記認証者デバイスによって前記ポートのデフォルトのVLANの値を前記VLAN IDに設定するステップと、
    前記認証者デバイスによって前記ポートを通じて前記嘆願者デバイスからイーサネット(登録商標)フレームを受信するステップと、
    前記認証者デバイスによって、前記ポートの前記デフォルトのVLANに基づいて前記VLAN IDを含むVLANタグを前記イーサネット(登録商標)フレームに追加し、それから、前記イーサネット(登録商標)フレームを転送するステップとをさらに含む請求項6に記載の方法。
  8. 前記LISPパケットが、パケットタイプインジケータをさらに含み、前記パケットタイプインジケータが、前記LISPパケットを受信するポートを前記VLAN IDによって特定されたVLANに追加するように前記VTEPデバイスに命令するために使用される請求項6または7に記載の方法。
  9. 仮想拡張可能ローカルエリアネットワーク(VXLAN)実装方法であって、
    アクセスデバイスによってポートを通じて端末デバイスから認証パケットを受信するステップであって、前記端末デバイスが、認証される嘆願者デバイスである、ステップと、
    前記ポートと、前記嘆願者デバイスの、前記認証パケット内のMACアドレスとの間の対応を前記アクセスデバイスによって記録するステップと、
    前記アクセスデバイスによってネットワークデバイスに前記認証パケットを送信するステップであって、前記ネットワークデバイスが、認証者デバイスおよびVXLANトンネルエンドポイント(VTEP)デバイスである、ステップと、
    前記アクセスデバイスによって前記ネットワークデバイスからバインディング命令を受信するステップであって、前記バインディング命令が、前記嘆願者デバイスの前記MACアドレスおよびVLAN IDを含む、ステップと、
    前記アクセスデバイスによって、前記対応と、前記嘆願者デバイスの、前記バインディング命令内の前記MACアドレスとに基づいて前記ポートのデフォルトのVLANの値を前記VLAN IDに設定するステップとを含む、方法。
  10. 前記アクセスデバイスによって前記ポートを通じて前記端末デバイスからイーサネット(登録商標)フレームを受信するステップであって、前記イーサネット(登録商標)フレームの送信元アドレスが、前記嘆願者デバイスの前記MACアドレスである、ステップと、
    前記アクセスデバイスによって、前記ポートの前記デフォルトのVLANに基づいて前記VLAN IDを含むVLANタグを前記イーサネット(登録商標)フレームに追加し、それから、前記イーサネット(登録商標)フレームを転送するステップとをさらに含む請求項9に記載の方法。
  11. アクセスデバイスに接続され、メモリ、第1のポート、第2のポート、および少なくとも1つのプロセッサを含むネットワークデバイスであって、
    前記メモリが、プログラムコードを記憶するように構成され、
    前記少なくとも1つのプロセッサが、前記メモリに記憶された前記プログラムコードを読んだ後、以下の動作、すなわち、
    仮想ローカルエリアネットワーク識別子(VLAN ID)からVXLANネットワーク識別子(VNI)へのマッピングを取得する動作を実行するように構成され、
    前記第1のポートが、前記アクセスデバイスによって転送されたイーサネット(登録商標)フレームを受信するように構成され、前記イーサネット(登録商標)フレーム内のVLANタグフィールドが前記VLAN IDを含み、
    前記少なくとも1つのプロセッサが、前記プログラムコードを読んだ後、以下の動作、すなわち、
    VXLANパケットを得るために、前記VLAN IDおよび前記マッピングに基づいて前記イーサネット(登録商標)フレームにVXLANヘッダを追加する動作であって、前記VXLANヘッダ内のVNIフィールドが、前記VNIを含む、動作をさらに実行し、
    前記第2のポートが、前記VXLANパケットを送信するように構成される、ネットワークデバイス。
  12. 前記第1のポートが、前記アクセスデバイスから第1の認証パケットを受信するようにさらに構成され、前記第1の認証パケットが、嘆願者デバイスに関する認証において使用され、
    前記プロセッサが、前記第1のポートと前記第1の認証パケット内の嘆願者デバイスのアドレスとの間の対応を記録するようにさらに構成され、
    前記ネットワークデバイスが、第3のポートをさらに含み、前記第3のポートが、認証サーバから第2の認証パケットを受信するように構成され、前記第2の認証パケットが、前記嘆願者デバイスのアドレスおよび前記VLAN IDを含み、
    前記プロセッサが、前記第2の認証パケット内の前記嘆願者デバイスのアドレスおよび前記VLAN ID、ならびに前記嘆願者デバイスのアドレスと前記第1のポートとの間の前記記録された対応に基づいて、前記VLAN IDによって特定されたVLANに前記第1のポートを追加するようにさらに構成される請求項11に記載のネットワークデバイス。
  13. 前記第1のポートが、前記アクセスデバイスにバインディング命令を送信するようにさらに構成され、前記バインディング命令が、前記嘆願者デバイスのアドレスおよび前記VLAN IDを含む請求項12に記載のネットワークデバイス。
  14. 前記第1のポートが、前記アクセスデバイスから追加命令を受信するようにさらに構成され、前記追加命令が、前記VLAN IDを含み、
    前記プロセッサが、前記VLAN IDによって特定されたVLANに前記第1のポートを追加するようにさらに構成される請求項11に記載のネットワークデバイス。
  15. 仮想ローカルエリアネットワーク識別子(VLAN ID)からVXLANネットワーク識別子(VNI)へのマッピングを取得するように構成された処理ユニットと、
    アクセスデバイスによって転送されたイーサネット(登録商標)フレームをポートを通じて受信するように構成された受信ユニットであって、前記イーサネット(登録商標)フレーム内のVLANタグフィールドが、前記VLAN IDを含み、
    前記処理ユニットが、VXLANパケットを得るために、前記VLAN IDおよび前記マッピングに基づいて前記イーサネット(登録商標)フレームにVXLANヘッダを追加するようにさらに構成され、前記VXLANヘッダ内のVNIフィールドが、前記VNIを含む、受信ユニットと、
    前記VXLANパケットを送信するように構成された送信ユニットとを含むネットワークデバイス。
  16. 前記受信ユニットが、前記ポートを通じて前記アクセスデバイスから第1の認証パケットを受信するようにさらに構成され、前記第1の認証パケットが、嘆願者デバイスに関する認証において使用され、
    前記処理ユニットが、前記ポートと前記第1の認証パケット内の嘆願者デバイスのアドレスとの間の対応を記録するようにさらに構成され、
    前記受信ユニットが、認証サーバから第2の認証パケットを受信するようにさらに構成され、前記第2の認証パケットが、前記嘆願者デバイスのアドレスおよび前記VLAN IDを含み、
    前記処理ユニットが、前記第2の認証パケット内の前記嘆願者デバイスのアドレスおよび前記VLAN ID、ならびに前記嘆願者デバイスのアドレスと前記ポートとの間の前記記録された対応に基づいて、前記VLAN IDによって特定されたVLANに前記ポートを追加するようにさらに構成される請求項15に記載のネットワークデバイス。
  17. 前記送信ユニットが、前記アクセスデバイスにバインディング命令を送信するようにさらに構成され、前記バインディング命令が、前記嘆願者デバイスのアドレスおよび前記VLAN IDを含む請求項16に記載のネットワークデバイス。
  18. 前記受信ユニットが、前記ポートを通じて前記アクセスデバイスから追加命令を受信するようにさらに構成され、前記追加命令が、前記VLAN IDを含み、
    前記処理ユニットが、前記VLAN IDによって特定されたVLANに前記ポートを追加するようにさらに構成される請求項15に記載のネットワークデバイス。
  19. 認証者デバイスであり、メモリ、第1のポート、および少なくとも1つのプロセッサを含むアクセスデバイスであって、
    前記少なくとも1つのプロセッサが、前記メモリに記憶されたプログラムコードを読んだ後、以下の動作、すなわち、
    認証サーバによって認証された嘆願者デバイスに割り当てられた仮想ローカルエリアネットワーク識別子(VLAN ID)を取得する動作を実行するように構成され、
    前記第1のポートが、VXLANトンネルエンドポイント(VTEP)デバイスにロケータ/識別子分離プロトコル(LISP)パケットを送信するように構成され、前記LISPパケットが、前記VLAN IDを含む、アクセスデバイス。
  20. 第2のポートをさらに含み、
    前記プロセッサが、前記第2のポートを決定し、前記第2のポートのデフォルトのVLANの値を前記VLAN IDに設定するようにさらに構成され、前記第2のポートが、前記嘆願者デバイスのMACアドレスに接続されたポートであり、
    前記第2のポートが、前記嘆願者デバイスからイーサネット(登録商標)フレームを受信するように構成され、
    前記プロセッサが、前記第2のポートの前記デフォルトのVLANに基づいて前記イーサネット(登録商標)フレームに前記VLAN IDを含むVLANタグを追加し、それから、前記第1のポートを通じて前記イーサネット(登録商標)フレームを転送するようにさらに構成される請求項19に記載のアクセスデバイス。
  21. 認証サーバによって認証された嘆願者デバイスに割り当てられた仮想ローカルエリアネットワーク識別子(VLAN ID)を取得するように構成された処理ユニットと、
    VXLANトンネルエンドポイント(VTEP)デバイスにロケータ/識別子分離プロトコル(LISP)パケットを送信するように構成された送信ユニットであって、前記LISPパケットが、前記VLAN IDを含む、送信ユニットとを含むアクセスデバイス。
  22. メモリ、第1のポート、第2のポート、および少なくとも1つのプロセッサを含むアクセスデバイスであって、
    前記第1のポートが、端末デバイスから認証パケットを受信するように構成され、前記端末デバイスが、認証される嘆願者デバイスであり、
    前記少なくとも1つのプロセッサが、前記メモリに記憶されたプログラムコードを読んだ後、以下の動作、すなわち、
    前記第1のポートと、前記嘆願者デバイスの、前記認証パケット内のMACアドレスとの間の対応を記録する動作を実行するように構成され、
    前記第2のポートが、ネットワークデバイスに前記認証パケットを送信することであって、前記ネットワークデバイスが、認証者デバイスおよびVXLANトンネルエンドポイント(VTEP)デバイスである、送信することと、前記ネットワークデバイスからバインディング命令を受信することであって、前記バインディング命令が、前記嘆願者デバイスの前記MACアドレスおよびVLAN IDを含む、受信することとを行うように構成され、
    前記少なくとも1つのプロセッサが、前記プログラムコードを読んだ後、以下の動作、すなわち、
    前記対応と、前記嘆願者デバイスの、前記バインディング命令内の前記MACアドレスとに基づいて前記第1のポートのデフォルトのVLANの値を前記VLAN IDに設定する動作をさらに実行する、アクセスデバイス。
  23. 前記第1のポートが、前記端末デバイスからイーサネット(登録商標)フレームを受信するようにさらに構成され、前記イーサネット(登録商標)フレームの送信元アドレスが、前記嘆願者デバイスの前記MACアドレスであり、
    前記少なくとも1つのプロセッサが、前記プログラムコードを読んだ後、以下の動作、すなわち、
    前記第1のポートの前記デフォルトのVLANに基づいて前記VLAN IDを含むVLANタグを前記イーサネット(登録商標)フレームに追加し、それから、前記第2のポートを通じて前記イーサネット(登録商標)フレームを転送する動作をさらに実行する請求項22に記載のアクセスデバイス。
  24. ポートを通じて端末デバイスから認証パケットを受信するように構成された受信ユニットであって、前記端末デバイスが、認証される嘆願者デバイスである、受信ユニットと、
    前記ポートと、前記嘆願者デバイスの、前記認証パケット内のMACアドレスとの間の対応を記録するように構成された処理ユニットと、
    ネットワークデバイスに前記認証パケットを送信するように構成された送信ユニットであって、前記ネットワークデバイスが、認証者デバイスおよびVXLANトンネルエンドポイント(VTEP)デバイスである、送信ユニットとを含み、
    前記受信ユニットが、前記ネットワークデバイスからバインディング命令を受信するようにさらに構成され、前記バインディング命令が、前記嘆願者デバイスの前記MACアドレスおよびVLAN IDを含み、
    前記処理ユニットが、前記対応と、前記嘆願者デバイスの、前記バインディング命令内の前記MACアドレスとに基づいて前記ポートのデフォルトのVLANの値を前記VLAN IDに設定するようにさらに構成されるアクセスデバイス。
  25. 請求項1から10のいずれか一項に記載の方法をコンピュータに実行させるプログラムを記録するコンピュータ可読ストレージ媒体。
JP2019117537A 2018-06-26 2019-06-25 Vxlan実装方法、ネットワークデバイス、および通信システム Active JP6884818B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021080302A JP2021145345A (ja) 2018-06-26 2021-05-11 Vxlan実装方法、ネットワークデバイス、および通信システム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201810670379.5A CN110650076B (zh) 2018-06-26 2018-06-26 Vxlan的实现方法,网络设备和通信系统
CN201810670379.5 2018-06-26

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2021080302A Division JP2021145345A (ja) 2018-06-26 2021-05-11 Vxlan実装方法、ネットワークデバイス、および通信システム

Publications (2)

Publication Number Publication Date
JP2020005256A true JP2020005256A (ja) 2020-01-09
JP6884818B2 JP6884818B2 (ja) 2021-06-09

Family

ID=66998285

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2019117537A Active JP6884818B2 (ja) 2018-06-26 2019-06-25 Vxlan実装方法、ネットワークデバイス、および通信システム
JP2021080302A Pending JP2021145345A (ja) 2018-06-26 2021-05-11 Vxlan実装方法、ネットワークデバイス、および通信システム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2021080302A Pending JP2021145345A (ja) 2018-06-26 2021-05-11 Vxlan実装方法、ネットワークデバイス、および通信システム

Country Status (5)

Country Link
US (3) US11271779B2 (ja)
EP (2) EP3591906A1 (ja)
JP (2) JP6884818B2 (ja)
CN (1) CN110650076B (ja)
CA (1) CA3047654C (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210128817A (ko) * 2020-04-17 2021-10-27 삼성전자주식회사 소프트웨어 정의 네트워크 시스템에서 통신을 수행하는 방법 및 장치
CN113645174B (zh) * 2020-04-27 2023-04-18 华为技术有限公司 Vxlan接入认证方法以及vtep设备
CN111614566B (zh) * 2020-06-02 2021-11-09 中电科航空电子有限公司 实现机载数据流转发的方法、装置、系统及可读存储介质
US11729166B2 (en) * 2020-07-07 2023-08-15 Arista Networks, Inc. Authentication of passive devices
CN113923075A (zh) * 2020-07-09 2022-01-11 华为技术有限公司 一种数据传输方法和装置
CN114501680A (zh) * 2020-11-11 2022-05-13 中国移动通信有限公司研究院 局域网的实现方法、核心网设备和终端
US11991246B2 (en) * 2020-12-30 2024-05-21 Oracle International Corporation Cloud scale multi-tenancy for RDMA over converged ethernet (RoCE)
CN114051246B (zh) * 2021-11-16 2024-02-20 酒泉钢铁(集团)有限责任公司 基于sdn+vxlan网络与企业5g网络融合的方法
CN114884876B (zh) * 2022-04-14 2023-06-30 烽火通信科技股份有限公司 跨网络平面通信方法、设备及可读存储介质
CN115134296B (zh) * 2022-05-31 2024-05-17 青岛海信宽带多媒体技术有限公司 一种智能网关
CN115987889A (zh) * 2022-12-26 2023-04-18 迈普通信技术股份有限公司 虚拟网络通信方法、装置、计算机设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017186181A1 (zh) * 2016-04-29 2017-11-02 新华三技术有限公司 网络访问控制
WO2017198163A1 (zh) * 2016-05-20 2017-11-23 新华三技术有限公司 接入控制

Family Cites Families (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4236398B2 (ja) * 2001-08-15 2009-03-11 富士通株式会社 通信方法、通信システム及び通信接続プログラム
US7849217B2 (en) * 2003-04-30 2010-12-07 Cisco Technology, Inc. Mobile ethernet
CN101160825B (zh) * 2005-02-01 2011-04-27 香港应用科技研究院有限公司 有效处理通信流量的系统和方法
JP4584776B2 (ja) 2005-06-09 2010-11-24 エヌ・ティ・ティ・コミュニケーションズ株式会社 ゲートウェイ装置およびプログラム
JP4652285B2 (ja) 2006-06-12 2011-03-16 株式会社日立製作所 ゲートウェイ選択機能を備えたパケット転送装置
US7961725B2 (en) * 2007-07-31 2011-06-14 Symbol Technologies, Inc. Enterprise network architecture for implementing a virtual private network for wireless users by mapping wireless LANs to IP tunnels
CN101087236B (zh) * 2007-08-09 2010-06-02 杭州华三通信技术有限公司 Vpn接入方法和设备
US8599860B2 (en) * 2009-05-14 2013-12-03 Futurewei Technologies, Inc. Multiple prefix connections with translated virtual local area network
CN102025591B (zh) * 2009-09-18 2013-12-18 中兴通讯股份有限公司 虚拟专用网络的实现方法及系统
WO2011081104A1 (ja) 2010-01-04 2011-07-07 日本電気株式会社 通信システム、認証装置、制御サーバ、通信方法およびプログラム
US8966240B2 (en) * 2011-10-05 2015-02-24 Cisco Technology, Inc. Enabling packet handling information in the clear for MACSEC protected frames
CN103095654B (zh) * 2011-10-31 2017-04-26 华为技术有限公司 配置虚拟局域网vlan信息的方法、无线接入点和网络控制点
US8948054B2 (en) * 2011-12-30 2015-02-03 Cisco Technology, Inc. System and method for discovering multipoint endpoints in a network environment
US10560283B2 (en) * 2012-01-23 2020-02-11 The Faction Group Llc System and method for a multi-tenant datacenter with layer 2 interconnection and cloud storage
CN103379010B (zh) * 2012-04-20 2018-09-21 中兴通讯股份有限公司 一种虚拟网络实现方法及系统
US8811409B2 (en) * 2012-06-04 2014-08-19 Telefonaktiebolaget L M Ericsson (Publ) Routing VLAN tagged packets to far end addresses of virtual forwarding instances using separate administrations
US9769049B2 (en) * 2012-07-27 2017-09-19 Gigamon Inc. Monitoring virtualized network
WO2014054768A1 (ja) * 2012-10-05 2014-04-10 日本電気株式会社 通信システム、仮想ネットワーク管理装置、仮想ネットワークの管理方法及びプログラム
WO2014124666A1 (en) * 2013-02-13 2014-08-21 Nokia Solutions And Networks Oy Method and network element for managing backhaul resources
US9391906B2 (en) * 2013-04-19 2016-07-12 International Business Machines Corporation Overlay network priority inheritance
JP6221501B2 (ja) * 2013-08-19 2017-11-01 富士通株式会社 ネットワークシステム、その制御方法、ネットワーク制御装置及びその制御プログラム
US9203765B2 (en) * 2013-08-30 2015-12-01 Cisco Technology, Inc. Flow based network service insertion using a service chain identifier
US9565105B2 (en) * 2013-09-04 2017-02-07 Cisco Technology, Inc. Implementation of virtual extensible local area network (VXLAN) in top-of-rack switches in a network environment
WO2015069576A1 (en) * 2013-11-05 2015-05-14 Cisco Technology, Inc. Network fabric overlay
US9413612B2 (en) * 2013-12-24 2016-08-09 Cisco Technology, Inc. Automatic resolution of virtual network instance to VLAN mapping conflicts in dual-homed deployments in a dynamic fabric automation network architecture
KR20150076041A (ko) * 2013-12-26 2015-07-06 한국전자통신연구원 가상 사설 클라우드망에서 사설 ip 주소 기반의 멀티 테넌트를 지원하기 위한 시스템 및 그 방법
US9531564B2 (en) * 2014-01-15 2016-12-27 Cisco Technology, Inc. Single hop overlay architecture for line rate performance in campus networks
CN103873374B (zh) * 2014-03-27 2017-08-11 新华三技术有限公司 虚拟化系统中的报文处理方法及装置
US10382228B2 (en) * 2014-06-26 2019-08-13 Avago Technologies International Sales Pte. Limited Protecting customer virtual local area network (VLAN) tag in carrier ethernet services
US10015023B2 (en) * 2014-09-08 2018-07-03 Quanta Computer Inc. High-bandwidth chassis and rack management by VLAN
US9768980B2 (en) * 2014-09-30 2017-09-19 Nicira, Inc. Virtual distributed bridging
US10020960B2 (en) * 2014-09-30 2018-07-10 Nicira, Inc. Virtual distributed bridging
US10230571B2 (en) * 2014-10-30 2019-03-12 Equinix, Inc. Microservice-based application development framework
US10171559B2 (en) * 2014-11-21 2019-01-01 Cisco Technology, Inc. VxLAN security implemented using VxLAN membership information at VTEPs
US10257162B2 (en) * 2015-02-16 2019-04-09 Telefonaktiebolaget Lm Ericsson (Publ) Method and system for providing “anywhere access” for fixed broadband subscribers
US9686186B2 (en) * 2015-04-22 2017-06-20 Cisco Technology, Inc. Traffic flow identifiers resistant to traffic analysis
US10020954B2 (en) * 2015-04-29 2018-07-10 Futurewei Technologies, Inc. Generic packet encapsulation for virtual networking
CN104901835B (zh) * 2015-05-22 2018-06-15 新华三技术有限公司 位置和标识分离协议网络中的映射服务器配置方法和装置
US10637889B2 (en) * 2015-07-23 2020-04-28 Cisco Technology, Inc. Systems, methods, and devices for smart mapping and VPN policy enforcement
CN107104872B (zh) * 2016-02-23 2020-11-03 华为技术有限公司 接入控制方法、装置及系统
CN105939296B (zh) * 2016-06-24 2019-11-12 杭州迪普科技股份有限公司 报文的处理方法及装置
CN106230749B (zh) * 2016-08-30 2019-07-23 锐捷网络股份有限公司 一种在虚拟可扩展局域网中转发报文的方法和汇聚交换机
US10148458B2 (en) * 2016-11-11 2018-12-04 Futurewei Technologies, Inc. Method to support multi-protocol for virtualization
US10129186B2 (en) * 2016-12-07 2018-11-13 Nicira, Inc. Service function chain (SFC) data communications with SFC data in virtual local area network identifier (VLAN ID) data fields
WO2018109536A1 (en) * 2016-12-17 2018-06-21 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for monitoring virtual extensible local area network (vxlan) tunnel with border gateway protocol (bgp)-ethernet virtual private network (evpn) infrastructure
US11038716B2 (en) * 2017-01-24 2021-06-15 Telefonaktiebolaget Lm Ericsson (Publ) Using location identifier separation protocol to implement a distributed gateway architecture for 3GPP mobility
US10212583B1 (en) * 2017-07-26 2019-02-19 Cisco Technology, Inc. System and method of fast roaming in enterprise fabric networks
US10560380B2 (en) * 2017-08-31 2020-02-11 Nicira, Inc. Method for improving throughput for encapsulated network traffic
US10812315B2 (en) * 2018-06-07 2020-10-20 Cisco Technology, Inc. Cross-domain network assurance
CN110768884B (zh) * 2018-07-25 2021-10-15 华为技术有限公司 Vxlan报文封装及策略执行方法、设备、系统
US10862816B2 (en) * 2018-10-08 2020-12-08 Oracle International Corporation Cloud computing cluster isolation with authentication and automatic configuration deployment
CN114667499A (zh) * 2019-09-11 2022-06-24 艾锐势有限责任公司 基于口令和策略的设备无关认证

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017186181A1 (zh) * 2016-04-29 2017-11-02 新华三技术有限公司 网络访问控制
WO2017198163A1 (zh) * 2016-05-20 2017-11-23 新华三技术有限公司 接入控制

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HPE FLEXFABRIC 5950 SWITCH SERIES SECURITY CONFIGURATION GUIDE, vol. Document version: 6W100-20171130, JPN6020030825, 2017, ISSN: 0004329443 *

Also Published As

Publication number Publication date
US11563603B2 (en) 2023-01-24
JP6884818B2 (ja) 2021-06-09
CA3047654A1 (en) 2019-12-26
US20210218599A1 (en) 2021-07-15
EP3876482A1 (en) 2021-09-08
CA3047654C (en) 2022-05-31
US11888652B2 (en) 2024-01-30
CN110650076A (zh) 2020-01-03
US11271779B2 (en) 2022-03-08
JP2021145345A (ja) 2021-09-24
US20220021557A1 (en) 2022-01-20
US20190394067A1 (en) 2019-12-26
EP3591906A1 (en) 2020-01-08
CN110650076B (zh) 2021-12-24

Similar Documents

Publication Publication Date Title
JP6884818B2 (ja) Vxlan実装方法、ネットワークデバイス、および通信システム
US10122574B2 (en) Methods and apparatus for a common control protocol for wired and wireless nodes
KR100967749B1 (ko) 어드레스 관리방법, 어드레스 관리시스템, 이동 단말 및 홈 도메인 서버
WO2018041152A1 (zh) 宽带远程接入服务器控制平面功能和转发平面功能的分离
CN110650075B (zh) 基于vxlan的组策略实现方法、网络设备和组策略实现系统
US9143481B2 (en) Systems and methods for application-specific access to virtual private networks
KR102388195B1 (ko) Bras 시스템 기반 메시지 패키징 방법 및 장치
EP2955874A2 (en) Link discovery method and device
EP3410648A1 (en) Method, device and system for access control
JPWO2006132142A1 (ja) リモートアクセスシステム及びそのipアドレス割当方法
US20220086236A1 (en) User Plane Connection Establishment Method And Apparatus, And System
WO2015003565A1 (zh) 控制用户终端接入的方法、装置及系统
WO2011032478A1 (zh) 一种获取终端身份标识的方法、装置及终端
JP5947763B2 (ja) 通信システム、通信方法、および、通信プログラム
JP4802238B2 (ja) ローカルネットワーク相互接続における移動端末に対してネットワークに基づくトンネルを設定する方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190806

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200811

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200824

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210412

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210512

R150 Certificate of patent or registration of utility model

Ref document number: 6884818

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250