一种VxLAN隧道接入认证的方法技术

一种VxLAN隧道接入认证的方法，公开了一种在CPE设备上使用Portal登录页面输入用户名密码和租户域名进行认证，认证通过后找到租户域关联的VxLAN隧道进行流量转发，远程接入该租户远端私有云的方法，包括：在CPE上设置VxLAN隧道、设置AAA认证方式、分配临时IP地址、基于用户名密码和域名完成Portal认证、通过授权策略关联VxLAN隧道、通过该隧道二次分配IP地址完成用户接入并转发流量。与现有技术相比，本发明专利技术可以实现VxLAN隧道接入前，对用户进行认证，弥补VxLAN隧道安全性的不足，特别是在一些开放式园区网络跨越Internet远程接入私有云的网络场景中。

A method of VxLAN tunnel access authentication

A method of VxLAN tunnel access authentication, discloses an authentication using Portal login page name password and domain name tenants on the CPE device, after certification by the tenants association found VxLAN tunnel traffic forwarding domain, including the method of remote access to the remote tenants private cloud in CPE set VxLAN, set the tunnel AAA authentication mode, allocation of temporary IP address, username and password and domain name based on Portal authentication and authorization strategy through the association of VxLAN tunnel through the tunnel, the distribution of two IP address complete user access and traffic forwarding. Compared with the existing technology, the invention can authenticate users before VxLAN tunnel access, and make up for the lack of VxLAN tunnel security, especially in some open campus network spanning Internet remote access to private cloud network scenarios.

【技术实现步骤摘要】
一种VxLAN隧道接入认证的方法
本专利技术涉及一种网络虚似化
，具体涉及一种VxLAN隧道接入认证的方法。
技术介绍
VxLAN(VirtualExtensibleLAN)，是一种网络虚似化技术，最初设计时是为了解决传统VLAN数量只有4096个的不足，试图改进大型云计算的部署时的扩展问题，将VLAN-ID从12bit扩展到24bit，支持2^24个VLAN。同时VxLAN采用MACinUDP封装技术，对承载的网络没有特殊要求，能够overlay到各种网络之上。最初VxLAN主要用于数据中心互联，随着技术的演进，VxLAN应用场景逐渐变得更加广泛，VxLAN逐渐变为一种灵活的隧道互联技术。本专利技术所涉及的一种VxLAN隧道接入认证的方法，就是VxLAN应用到一个开放式园区中，通过部署在园区里的CPE设备(CustomerPremiseEquipment客户终端设备)，帮助多个中小企业通过认证安全的访问其远端私有云的方法。
技术实现思路
本专利技术提出的一种VxLAN隧道接入认证的方法，可在VxLAN提供远程接入时，提供一种基于用户名密码和租户域名的认证方式，提高远程接入时的安全性。为实现上述目的，本专利技术采用了以下技术方案：一种VxLAN隧道接入认证的方法，包括以下步骤：步骤1：在CPE上，设置VxLAN隧道，该隧道本端连接园区某个租户的网络，远端连接的是该租户位于Internet上的私有云的网关设备MSR；步骤2：设置AAA认证，认证策略采用DHCP+Portal认证方式；步骤3：设置认证前的临时地址池，当有用户上线后，通过DHCP协议从临时地址池中分配IP地址，DHCP租期为超短时间；步骤4：当某租户的用户浏览网页时，使用重定向技术跳转到Portal登录页面，然后该用户使用正确的用户名、密码和租户域名完成Portal认证；步骤5：通过租户域授权策略，找到该租户关联的VxLAN隧道，该用户的流量通过该隧道转发到该租户远端私有云网络中；步骤6：临时地址租期到达后，通过该VxLAN隧道二次分配远端私有云网段的IP地址，完成用户接入以及后续流量转发。进一步的，所述步骤5中租户关联VxLAN隧道后，出向流量转发采用的虚拟网桥转发方式，包括以下步骤：步骤51：设置两个虚接口，虚接口一和虚接口二，将这两个虚接口绑定为一对桥接接口；步骤52：设置Route-map重定向策略，设置重定向目标接口为虚接口一，再将Route-map应用到该租户的AAA授权策略中；步骤53：设置租户的VxLAN隧道的本端连接的接口为虚接口二；步骤54：虚接口一和虚接口二之间以虚拟桥接方式交换流量。进一步的，所述步骤5中租户关联VxLAN隧道后，回程流量转发采用MAC-User转发方式，包括以下步骤：步骤511：在虚接口一上使能MAC-User转发方式；步骤512：当VxLAN隧道中有用户回程流量时，流量从虚接口二以桥接方式转发到虚接口一，在虚接口一上执行MAC-User转发方式；步骤513：执行MAC-User转发时，根据报文目的MAC地址，找到用户，将报文转发给该用户。进一步的，所述步骤6中二次分配远端私有云网段IP地址时，采用CPE做DHCP-Relay方式。进一步的，所述步骤1中设置的VxLAN隧道的方式，可采用静态VxLAN隧道，或者SDN控制器下发的VxLAN隧道，或者EVPN动态建立的VxLAN隧道。进一步的，所述步骤1中可以设置多条VxLAN隧道，同时连接多个租户网络和他们各自的私有云。进一步的，所述步骤3中临时地址池的DHCP租期为超短租期，根据需要设置为几秒或几分钟。进一步的，所述步骤4中网页重定向技术，采用HTTP劫持方式，构造一个HTTP302Moved应答消息，使得用户浏览器跳转到Portal登录页面。由上可知，本专利技术的一种VxLAN隧道接入认证的方法，可以在VxLAN提供远程接入时，提供一种基于用户名密码和租户域名的认证方式，提高远程接入时的安全性，特别是在一些开放式园区网络跨越Internet远程接入私有云的网络场景中。附图说明图1是本专利技术的网络拓扑图；图2是本专利技术的流量转发过程的示意图。具体实施方式下面结合附图对本专利技术做进一步说明：本实施例的系统组成，如图1所示，由CPE(CustomerPremiseEquipment客户终端设备)、园区租户，以及远端MSR(Multi-ServiceRouter多业务路由器)、私有云、AAA组成的网络，CPE和MSR之间跨越Internet网络。步骤1：在CPE上，首先设置Internet接入方式、静态路由、默认路由、园区VLAN等网络参数。然后设置静态VxLAN隧道，该隧道本端连接园区某个租户的网络，远端连接的是该租户位于Internet上的私有云；步骤2：设置AAA认证，使用Radus协议，Radius的地址填写为该租户远端私有云中的AAA服务器地址，用户认证策略采用DHCP+Portal认证方式，Portal服务器使用CPE内置Portal服务模块，AAA服务器上设置用户远程接入时认证用的用户名密码和域名；步骤3：设置认证前的临时地址池，如图2所示，当有用户上线后，通过DHCP协议从临时地址池中分配IP地址，DHCP租期为30秒；步骤4：当某租户的用户浏览网页时，如图2所示，使用重定向技术跳转到Portal登录页面，然后该用户使用正确的用户名、密码和租户域名完成Portal认证；步骤5：通过租户域授权策略，找到该租户关联的VxLAN隧道，该用户的流量通过该隧道转发到该租户远端私有云网络中。如图2所示，出向流程采用特殊的虚拟网桥转发方式：1)设置两个虚接口1和2，将这两个虚接口绑定为一对桥接接口；2)设置Route-map重定向策略，设置重定向目标接口为虚接口1，再将Route-map应用到该租户的授权策略中；3)设置租户的VxLAN隧道的本端连接的接口为虚接口2；4)虚接口1和虚接口2之间以虚拟桥接方式交换流量。如图2所示，回程流量采用特殊的MAC-User转发方式：1)在虚接口1上使能MAC-User转发方式；2)当VxLAN隧道中有用户回程流量时，流量从虚接口2以桥接方式转发到虚接口1，在虚接口1上执行MAC-User转发方式；3)执行MAC-User转发时，根据报文目的MAC地址，找到用户，将报文转发给该用户。步骤6：临时地址租期到达后，如图2所示，采用DHCP-Relay方式，通过该VxLAN隧道二次分配远端私有云网段的IP地址，完成用户接入以及后续流量转发。使用本实施例后，可以在VxLAN提供远程接入时，提供一种基于用户名密码和租户域名的认证方式，提高远程接入时的安全性，特别是在一些开放式园区网络跨越Internet远程接入私有云的网络场景中。以上所述的实施例仅仅是对本专利技术的优选实施方式进行描述，并非对本专利技术的范围进行限定，在不脱离本专利技术设计精神的前提下，本领域普通技术人员对本专利技术的技术方案作出的各种变形和改进，均应落入本专利技术的保护范围内。本文档来自技高网...

【技术保护点】
一种VxLAN隧道接入认证的方法，其特征在于：包括以下步骤：步骤1：在CPE上，设置VxLAN隧道，该隧道本端连接园区某个租户的网络，远端连接的是该租户位于Internet上的私有云的网关设备MSR；步骤2：设置AAA认证，认证策略采用DHCP+Portal认证方式；步骤3：设置认证前的临时地址池，当有用户上线后，通过DHCP协议从临时地址池中分配IP地址，DHCP租期为超短时间；步骤4：当某租户的用户浏览网页时，使用重定向技术跳转到Portal登录页面，然后该用户使用正确的用户名、密码和租户域名完成Portal认证；步骤5：通过租户域授权策略，找到该租户关联的VxLAN隧道，该用户的流量通过该隧道转发到该租户远端私有云网络中；步骤6：临时地址租期到达后，通过该VxLAN隧道二次分配远端私有云网段的IP地址，完成用户接入以及后续流量转发。

【技术特征摘要】
1.一种VxLAN隧道接入认证的方法，其特征在于：包括以下步骤：步骤1：在CPE上，设置VxLAN隧道，该隧道本端连接园区某个租户的网络，远端连接的是该租户位于Internet上的私有云的网关设备MSR；步骤2：设置AAA认证，认证策略采用DHCP+Portal认证方式；步骤3：设置认证前的临时地址池，当有用户上线后，通过DHCP协议从临时地址池中分配IP地址，DHCP租期为超短时间；步骤4：当某租户的用户浏览网页时，使用重定向技术跳转到Portal登录页面，然后该用户使用正确的用户名、密码和租户域名完成Portal认证；步骤5：通过租户域授权策略，找到该租户关联的VxLAN隧道，该用户的流量通过该隧道转发到该租户远端私有云网络中；步骤6：临时地址租期到达后，通过该VxLAN隧道二次分配远端私有云网段的IP地址，完成用户接入以及后续流量转发。2.如权利要求1所述的一种VxLAN隧道接入认证的方法，其特征在于：所述步骤5中租户关联VxLAN隧道后，出向流量转发采用的虚拟网桥转发方式，包括以下步骤：步骤51：设置两个虚接口，虚接口一和虚接口二，将这两个虚接口绑定为一对桥接接口；步骤52：设置Route-map重定向策略，设置重定向目标接口为虚接口一，再将Route-map应用到该租户的AAA授权策略中；步骤53：设置租户的VxLAN隧道的本端连接的接口为虚接口二；步骤54：虚接口一和虚接口二之间以虚拟桥接方式交换流量。3.如权利要求2所述的一种VxLAN...

【专利技术属性】
技术研发人员：林晨，
申请(专利权)人：安徽皖通邮电股份有限公司，
类型：发明
国别省市：安徽,34