WO2017143903A1

WO2017143903A1 - 接入控制方法、装置及系统

Info

Publication number: WO2017143903A1
Application number: PCT/CN2017/072904
Authority: WO
Inventors: 谢莹; 王昕�
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2016-02-23
Filing date: 2017-02-04
Publication date: 2017-08-31
Anticipated expiration: 2018-08-23
Also published as: EP3410648A4; EP3410648B1; CN107104872B; US20190013968A1; US11095478B2; EP3410648A1; CN107104872A

Abstract

本发明公开了一种接入控制方法、装置及系统，属于通信领域。所述方法包括：接收接入设备发送的虚拟可扩展局域网VXLAN请求报文；解析VXLAN请求报文，得到接入设备的IP地址以及用户的认证信息；将接入设备的IP地址以及用户的认证信息发送至认证服务器，以便于认证服务器对用户进行认证；接收认证服务器发送的认证结果；根据认证结果控制用户。本发明实现了VXLAN场景下根据用户的接入信息对用户的认证。

Description

接入控制方法、装置及系统

本申请要求于2016年2月23日提交中国专利局、申请号为201610100415.5、发明名称为“接入控制方法、装置及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信领域，特别涉及一种接入控制方法、装置及系统。

背景技术

随着通信技术的发展，出现了一种虚拟可扩展局域网(英文：virtual extensible local area network；简称：VXLAN)，VXLAN是三层网络虚拟化(network virtualization over layer 3；简称：NVo3)中的一种网络虚拟化技术，通过将虚拟机(英文：virtual machine；简称：VM)或物理服务器发出的数据包封装在用户数据报协议(英文：User Datagram Protocol；简称：UDP)报文中，并使用物理网络的因特网协议(英文：Internet Protocol；简称：IP)地址或媒体访问控制(英文：media access control；简称：MAC)地址作为报文头进行封装，然后在IP网络上传输，到达目的地后由隧道终结点解封装并将数据发送给目标VM或物理服务器。即，用户能够通过VXLAN与另一个网络中的对端用户通信。如图1所示，VXLAN包括接入设备01和业务路由器(英文：Service Router；简称：SR)02，且接入设备01和SR 02均为VXLAN的边缘设备，称为网络虚拟边缘(英文:network virtualization edge；简称：NVE)，每个NVE上配置了VXLAN隧道终端(英文：VXLAN Tunneling End Point；简称：VTEP)。

在传统的园区接入或者城域以太网宽带接入场景中，SR-02需要根据用户的物理位置信息，对用户进行认证、计费、授权，并在用户上线后需要对用户IP业务报文做安全绑定检查。具体来说，由接入设备01在动态主机配置协议(英文：Dynamic Host Configuration Protocol，简称：DHCP)报文中插入携带用户的物理位置信息的DHCP 82选项或者在以太网承载PPP协议(英文：Point-to-Point Protocol Over Ethernet，简称：PPPoE)报文中插入携带用户的接入信息(例如物理位置，环路标识等)的PPPoE+选项，并将DHCP报文或者PPPoE报文发送给SR-02，然后SR-02将DHCP报文或者PPPoE报文中携带的用户物理位置信息，以及用户名和/或密码、虚拟局域网(英文：virtual local area network；简称：VLAN)标识、SR用于接收DHCP报文或者PPPoE报文的端口中的一个或多个发送到认证服务器1对用户进行认证，认证成功后，用户才可以访问网络。

然而，在VXLAN网络中，配置了VTEP的接入设备通过等价多路径(英文：equal-cost multi-path routing；简称：ECMP)的方式向配置了VTEP的SR发送VXLAN报文，这样，就无法确定SR实际会通过哪个端口接收VXLAN报文，因此，无法预先在认证服务器中配置用于认证的信息，进而无法实现在VXLAN场景下根据用户的接入信息对用户进行认证。

发明内容

为了解决VXLAN场景下无法实现根据用户的接入信息对用户进行认证的问题，本发明提供了一种接入控制方法、装置及系统。所述技术方案如下：

第一方面，提供了一种接入控制方法，用于虚拟可扩展局域网VXLAN中的业务路由器，所述VXLAN还包括接入设备，所述方法包括：

接收所述接入设备发送的VXLAN请求报文，所述VXLAN请求报文是由用户发送的因特网协议IP请求报文封装得到的，所述VXLAN请求报文包括所述接入设备的IP地址以及所述用户的认证信息；

解析所述VXLAN请求报文，得到所述接入设备的IP地址以及所述用户的认证信息；

将所述接入设备的IP地址以及所述用户的认证信息发送至认证服务器，以便于所述认证服务器对所述用户进行认证；

接收所述认证服务器发送的认证结果；

根据所述认证结果控制所述用户。

由于接入设备将用户发送的IP请求报文进行封装得到VXLAN请求报文，并将VXLAN请求报文发送至业务路由器，并由该业务路由器对VXLAN请求报文进行解析得到接入设备的IP地址以及用户的认证信息，然后将接入设备的IP地址和用户的认证信息发送至认证服务器对用户进行认证。由于在VXLAN中，每个用户对应的接入设备是唯一的，因此，能够预先在认证服务器中配置用于认证的用户对应的接入设备的IP地址以及用户的认证信息，从而实现VXLAN场景下根据用户的接入信息对用户进行认证。

进一步的，由于在VLAN中用户认证的过程中，需要接入设备在IP请求报文中加插DHCP option 82或PPPoE option+才能确定用户的物理位置信息，所以用户认证的过程较复杂。本发明中，在进行认证的过程中，接入设备直接封装用户发送的IP请求报文，且VXLAN请求报文包括接入设备的IP地址，且接入设备的IP地址可以间接的反映用户的物理位置信息，所以本发明中用户认证的过程较简单。

现有技术中，由于用户名和密码能够被用户篡改，所以用户认证的可靠性较低；本发明中对接入设备的IP地址进行认证，由于VXLAN请求报文中的外层源IP地址为接入设备添加的，无法被用户篡改，因此，用户认证的可靠性较高。

可选的，所述根据所述认证结果控制所述用户，包括：

在所述认证结果指示认证成功时，允许所述用户接入网络；

在所述认证结果指示认证失败时，禁止所述用户接入网络。

可选的，所述方法还包括：

在所述认证结果指示认证成功时，根据所述认证结果生成本地认证绑定表项，所述本地认证绑定表项包括所述接入设备的IP地址以及所述用户的认证信息。

可选的，所述方法还包括：

接收VXLAN业务报文，所述VXLAN业务报文是由用户发送的IP业务报文封装得到的；

解析所述VXLAN业务报文，得到所述IP业务报文以及所述VXLAN业务报文的VXLAN头中外层源IP地址；

根据所述本地认证绑定表项处理所述IP业务报文。

可选的，所述根据所述本地认证绑定表项处理所述IP业务报文，包括：

在所述外层源IP地址与所述本地认证绑定表项中记录的所述接入设备的IP地址相同时，转发所述IP业务报文；

在所述外层源IP地址与所述本地认证绑定表项中记录的所述接入设备的IP地址不相同时，禁止转发所述IP业务报文。

进一步的，由于在认证结果指示认证成功时，根据认证结果生成包括接入设备的IP地址以及用户的认证信息的本地认证绑定表项，使得业务路由器在接收到VXLAN业务报文后，解析VXLAN业务报文，得到IP业务报文以及VXLAN业务报文中的外层源IP地址(即封装IP业务报文的接入设备的IP地址)，并根据本地认证绑定表项处理IP业务报文。即通过判断外层源IP地址与本地认证绑定表项中记录的接入设备的IP地址是否相同，来确定IP业务报文是否安全。在外层源IP地址与本地认证绑定表项中记录的接入设备的IP地址相同时，确定IP业务报文安全，转发IP业务报文；在外层源IP地址与本地认证绑定表项中记录的接入设备的IP地址不相同时，确定IP业务报文不安全，禁止转发IP业务报文，保证了网络的安全性。又由于VXLAN业务报文中的外层源IP地址为接入设备添加的，无法被用户篡改，因此，安全绑定检查的可靠性较高。

可选的，将所述接入设备的IP地址以及所述用户的认证信息发送至认证服务器，包括：

生成包括所述接入设备的IP地址以及所述用户的认证信息的认证报文；

将所述认证报文发送至所述认证服务器。

可选的，所述认证服务器为远程认证拨号用户服务器RADIUS，

所述认证报文的87号属性字段包括所述接入设备的IP地址。

第二方面，提供了一种接入控制装置，用于虚拟可扩展局域网VXLAN，所述VXLAN还包括接入设备，所述接入控制装置包括：

第一接收模块，用于接收所述接入设备发送的VXLAN请求报文，所述VXLAN请求报文是由用户发送的因特网协议IP请求报文封装得到的，所述VXLAN请求报文包括所述接入设备的IP地址以及所述用户的认证信息；

第一解析模块，用于解析所述VXLAN请求报文，得到所述接入设备的IP地址以及所述用户的认证信息；

发送模块，用于将所述接入设备的IP地址以及所述用户的认证信息发送至认证服务器，以便于所述认证服务器对所述用户进行认证；

第二接收模块，用于接收所述认证服务器发送的认证结果；

控制模块，用于根据所述认证结果控制所述用户。

可选的，所述控制模块还用于：

在所述认证结果指示认证成功时，允许所述用户接入网络；

在所述认证结果指示认证失败时，禁止所述用户接入网络。

可选的，所述接入控制装置还包括：

生成模块，用于在所述认证结果指示认证成功时，根据所述认证结果生成本地认证绑定表项，所述本地认证绑定表项包括所述接入设备的IP地址以及所述用户的认证信息。

可选的，所述接入控制装置还包括：

第三接收模块，用于接收VXLAN业务报文，所述VXLAN业务报文是由用户发送的IP业务报文封装得到的；

第二解析模块，用于解析所述VXLAN业务报文，得到所述IP业务报文以及所述VXLAN业务报文的VXLAN头中外层源IP地址；

处理模块，用于根据所述本地认证绑定表项处理所述IP业务报文。

可选的，所述处理模块还用于：

可选的，所述发送模块还用于：

将所述认证报文发送至所述认证服务器。

可选的，所述认证服务器为远程认证拨号用户服务器RADIUS，

所述认证报文的87号属性字段包括所述接入设备的IP地址。

第三方面，提供了一种接入控制系统，所述接入控制系统包括：虚拟可扩展局域网VXLAN和认证服务器，所述VXLAN包括：接入设备和业务路由器，

所述业务路由器包括：第二方面所述的接入控制装置。

第四方面，提供了一种接入控制装置，用于虚拟可扩展局域网VXLAN，所述VXLAN还包括接入设备，所述接入控制装置包括：至少一个处理器、至少一个网络接口、存储器和至少一个通信总线，所述处理器用于执行所述存储器中存储的程序，所述程序包括：

接收所述认证服务器发送的认证结果；

根据所述认证结果控制所述用户。

可选的，所述根据所述认证结果控制所述用户，包括：

在所述认证结果指示认证成功时，允许所述用户接入网络；

在所述认证结果指示认证失败时，禁止所述用户接入网络。

可选的，所述程序还包括：

根据所述本地认证绑定表项处理所述IP业务报文。

可选的，将所述接入设备的IP地址以及所述用户的认证信息发送至所述认证服务器，包括：

将所述认证报文发送至所述认证服务器。

可选的，所述认证服务器为远程认证拨号用户服务器RADIUS，

所述认证报文的87号属性字段包括所述接入设备的IP地址。

第五方面，提供了一种接入控制系统，所述接入控制系统包括：虚拟可扩展局域网VXLAN和认证服务器，所述VXLAN包括：接入设备和业务路由器，

所述业务路由器包括：第四方面所述的接入控制装置。

综上所述，本发明提供了一种接入控制方法、装置及系统，在接入控制方法中，接入设备将用户发送的IP请求报文进行封装得到VXLAN请求报文，并将VXLAN请求报文发送至业务路由器，并由该业务路由器对VXLAN请求报文进行解析得到接入设备的IP地址以及用户的认证信息，然后将接入设备的IP地址和用户的认证信息发送至认证服务器对用户进行认证。由于在VXLAN中，每个用户对应的接入设备是唯一的，因此，能够预先在认证服务器中配置用于认证的用户对应的接入设备的IP地址以及用户的认证信息，从而实现VXLAN场景下根据用户的接入信息对用户进行认证。

进一步的，由于在认证结果指示认证成功时，根据认证结果生成包括接入设备的IP地址以及用户的认证信息的本地认证绑定表项，使得业务路由器在接收到VXLAN业务报文后，解析VXLAN业务报文，得到IP业务报文以及VXLAN业务报文中的外层源IP地址(即封装IP业务报文的接入设备的IP地址)，并根据本地认证绑定表项处理IP业务报文。即通过判断外层源IP地址与本地认证绑定表项中记录的接入设备的IP地址是否相同，来确定IP业务报文是否安全。在外层源IP地址与本地认证绑定表项中记录的接入设备的IP地址相同时，确定IP业务报文安全，转发IP业务报文；在外层源IP地址与本地认证绑定表项中记录的接入设备的IP地址不相同时，确定IP业务报文不安全，禁止转发IP业务报文，保证了网络的安全性。又由于VXLAN请求报文和VXLAN业务报文中的外层源IP地址均为接入设备添加的，无法被用户篡改，因此，用户认证以及安全绑定检查的可靠性均较高。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍。

图1为现有技术提供的一种VXLAN的结构示意图；

图2为本发明实施例提供的一种接入控制方法的应用场景示意图；

图3为本发明实施例提供的一种接入控制方法的方法流程图；

图4-1为本发明实施例提供的另一种接入控制方法的方法流程图；

图4-2为本发明实施例提供的一种VXLAN请求报文的结构示意图；

图4-3为本发明实施例提供的一种发送IP业务报文的方法流程图；

图5-1为本发明实施例提供的一种接入控制装置的结构示意图；

图5-2为本发明实施例提供的另一种接入控制装置的结构示意图；

图5-3为本发明实施例提供的又一种接入控制装置的结构示意图；

图6为本发明实施例提供的一种接入控制系统的结构示意图；

图7为本发明实施例提供的再一种接入控制装置的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

图2为本发明实施例提供的一种接入控制方法的应用场景示意图。如图2所示，VXLAN 2包括：接入设备21、业务路由器22。其中，接入设备21可以为接入交换机或者接入路由器，该业务路由器可以为宽带网络网关(英文：broadband network gateway；简称：BNG)或宽带远程接入服务器(英文：broadband remote access server；简称：BRAS)，或其他具有认证功能的网关。用户能够登录在用户设备3上，用户设备3接入接入设备21，接入设备21接入业务路由器22，业务路由器22可以同时接入认证服务器1和网络(图2中未示出)。示例的，该网络可以为与用户设备3进行通信的其他用户设备所在的目标网络，或者接入该目标网络的核心网络。认证服务器1可以为远程认证拨号用户服务器(英文：Remote Access Dial-In User Service；简称：RADIUS)。

如图3所示，本发明实施例提供了一种接入控制方法，该接入控制方法可以用于图2中的业务路由器22，该接入控制方法可以包括：

步骤301、接收接入设备发送的VXLAN请求报文，VXLAN请求报文是由用户发送的IP请求报文封装得到的，VXLAN请求报文包括接入设备的IP地址以及用户的认证信息。

步骤302、解析VXLAN请求报文，得到接入设备的IP地址以及用户的认证信息。

步骤303、将接入设备的IP地址以及用户的认证信息发送至认证服务器，以便于认证服务器对用户进行认证。

步骤304、接收认证服务器发送的认证结果。

步骤305、根据认证结果控制用户。

其中，步骤305可以包括：在认证结果指示认证成功时，允许用户接入网络；在认证结果指示认证失败时，禁止用户接入网络。

为了实现本发明，需要预先在认证服务器上配置认证规则，每条认证规则包括接入设备的IP地址以及至少一种用户信息，用户信息为能够唯一标识一个用户的信息，例如，用户名、密码等。此外，每条认证规则还可以包括用户的VXLAN标识等其他信息。

综上所述，由于本发明实施例提供的接入控制方法中，接入设备将用户发送的IP请求报文进行封装得到VXLAN请求报文，并将VXLAN请求报文发送至业务路由器，并由该业务路由器对VXLAN请求报文进行解析得到接入设备的IP地址以及用户的认证信息，然后将接入设备的IP地址和用户的认证信息发送至认证服务器对用户进行认证。由于在VXLAN中，每个用户对应的接入设备是唯一的，因此，能够预先在认证服务器中配置用于认证的用户对应的接入设备的IP地址以及用户的认证信息，从而实现VXLAN场景下根据用户的接入信息对用户进行认证。

可选的，该接入控制方法还可以包括：

根据所述本地认证绑定表项处理所述IP业务报文。

可选的，步骤303可以包括：

将所述认证报文发送至所述认证服务器。

可选的，所述认证服务器为远程认证拨号用户服务器RADIUS，所述认证报文的87号属性字段包括所述接入设备的IP地址。

如图4-1所示，本发明实施例提供了另一种接入控制方法，该接入控制方法以用户为合法用户为例进行解释说明，该接入控制方法可以包括：

步骤401、用户设备向接入设备发送IP请求报文。

用户设备接入接入设备，接入设备接入业务路由器，业务路由器可以同时接入认证服务器和网络，示例的，该网络可以为与该用户设备进行通信的其他用户设备所在的目标网络，或者接入该目标网络的核心网络，该目标网络可以为因特网(英文：Internet)。

用户可以在用户设备上输入用户名和密码，使得用户设备生成包括用户的认证信息(例如，用户名和密码)的IP请求报文，并将生成的IP请求报文发送至用户设备接入的接入设备。示例的，用户名和密码可以是预先分配给用户的，用户设备生成的IP请求报文的具体结构可以参考在VLAN中用户设备生成的IP请求报文的具体结构，本发明实施例在此不作赘述。

步骤402、接入设备封装IP请求报文，得到VXLAN请求报文。

接入设备在接收到用户设备发送的IP请求报文后，接入设备可以采用将MAC地址封装在UDP中的封装方式封装该IP请求报文，从而得到VXLAN请求报文，且该VXLAN请求报文可以包括该接入设备的IP地址、用户的认证信息(例如，用户名和密码)以及该接入设备所在的VXLAN的标识。

图4-2为本发明实施例提供的一种VXLAN请求报文的结构示意图，如图4-2所示，该VXLAN请求报文可以依次包括：外层Ethernet头(英文：outer Ethernet header)封装部分、外层IP头(英文：outer IP header)封装部分、外层UDP头(英文：outer UDP header)封装部分、VXLAN头(英文：VXLAN header)封装部分以及IP请求报文。

Outer Ethernet header封装部分可以依次包括：目的MAC地址(英文：MAC DA)字段、源MAC地址(英文：MAC SA)字段、VLAN类型(英文：VLAN type)字段、VLAN标识(英文：VLAN identifier；简称：VLAN ID)字段和以太网类型(英文：Ethernet type)字段。其中，MAC DA字段表示：目的虚拟机所属VTEP上路由表中直连的下一跳MAC地址；MAC SA字段表示：发送VXLAN请求报文的虚拟机所属VTEP的MAC地址；当IP请求报文中携带VLAN Tag(标签)时，VLAN Type字段的取值为0x8100；当Ethernet Type字段对应的协议报文为IP协议报文时，Ethernet Type字段的取值为0x0800。

Outer IP header封装部分可以依次包括：前空闲字段、协议(英文：protocol)字段、后空闲字段、源IP地址(英文：IP SA)字段和目的IP地址(英文：IP DA)字段。其中，IP SA字段表示接入设备的IP地址；IP DA字段表示业务路由器的IP地址。

Outer UDP header封装部分可以依次包括：源端口(英文：source port)字段、目的端口(英文：destport)字段、UDP长度(英文：UDP length)字段和UDP校验和(英文：UDP checksum)字段。其中，destport字段所指示的端口号可以为4789，source port字段所指示的源端口号可以通过对IP请求报文采用哈希算法进行计算得来。

VXLAN header封装部分依次包括：VXLAN标记(英文：VXLAN flags)字段、前预留(英文：reserved)字段、VXLAN标识(英文：VXLAN identifier；简称：VNI)字段和后reserved字段，其中，VNI字段可以包括接入设备所在的VXLAN的标识。

IP请求报文依次包括：内层以太网头(英文：inner Ethernet header)字段、内层IP头(英文：inner IP header)字段和有效载荷(英文：payload)字段。其中，Payload字段包括用户输入的用户名和密码。

步骤403、接入设备向业务路由器发送VXLAN请求报文。

接入设备在将用户设备发送的IP请求报文进行封装并得到VXLAN请求报文后，接入设备可以将包含接入设备的IP地址、VXLAN的标识以及用户的认证信息的VXLAN请求报文发送至业务路由器。

步骤404、业务路由器解析VXLAN请求报文，得到接入设备的IP地址、VXLAN的标识以及用户的认证信息。

业务路由器在接收到VXLAN请求报文后，可以解析该VXLAN请求报文，得到该VXLAN请求报文中包括的接入设备的IP地址、用户名、密码和VXLAN的标识。例如，从VXLAN请求报文中的Outer IP header封装部分得到接入设备的IP地址，从VXLAN请求报文中的VXLAN header封装部分得到接入设备所在的VXLAN的标识，从VXLAN请求报文中的IP请求报文得到用户名和密码。

步骤405、业务路由器生成包含接入设备的IP地址、VXLAN的标识以及用户的认证信息的认证报文。

示例的，当认证服务器可以为RADIUS时，该业务路由器可以根据RADIUS协议、接入设备的IP地址、用户名、密码和VXLAN的标识，生成包括接入设备的IP地址、用户名、密码和VXLAN的标识的认证报文，具体的，生成的认证报文的具体结构可以参考现有技术中根据RADIUS协议生成的认证报文的具体结构。示例的，该认证报文的第87号属性字段可以包括接入设备的IP地址，该87号属性字段可以为网络附属存储端口标识(英文：network attached storage port identifier；简称：NAS-Port-Id)字段。

步骤406、业务路由器向认证服务器发送认证报文。

由于业务路由器接入认证服务器，所以业务路由器可以将该认证报文发送至认证服务器，认证服务器可以为RADIUS，需要说明的是，认证服务器还可以为除RADIUS外的其他认证服务器，本发明实施例对此不做限定。

步骤407、认证服务器对认证报文进行认证。

具体的，认证服务器上可以预先配置有认证规则，每条认证规则包括接入设备的IP地址以及至少一种用户信息，用户信息为能够唯一标识一个用户的信息，例如，用户名、密码等。此外，每条认证规则还可以包括用户的VXLAN标识等其他信息。示例的，认证服务器上可以设置有用于记录认证规则的认证表项。

认证表项可以如表1所示，该认证表项中记录了两条认证规则。其中，第一条认证规则包括：ZHANGSAN(用户名)、110(密码)、A1(接入设备的IP地址)以及VXLAN-B1(接入设备所在的VXLAN的标识)。第二条认证规则包括：LISI(用户名)、120(密码)、A2(接入设备的IP地址)以及VXLAN-B2(接入设备所在的VXLAN的标识)。

表1

用户名	密码	接入设备的IP地址	接入设备所在的VXLAN的标识
ZHANGSAN	110	A1	VXLAN-B1
LISI	120	A2	VXLAN-B2

认证服务器在接收到认证报文后，认证服务器能够获取认证报文中的接入设备的IP地址、用户名、密码和VXLAN的标识，并在认证服务器上的认证表项中查找该认证表项中是否存在一条认证规则同时包括该认证报文中的接入设备的IP地址、用户名、密码和VXLAN的标识。如果该认证表项中存在一条认证规则同时包括该认证报文中的接入设备的IP地址、用户名、密码和VXLAN的标识，则该认证服务器可以确定认证成功，并生成用于指示认证结果为认证成功的第一报文。如果该认证表项中不存在一条认证规则同时包括该认证报文中的接入设备的IP地址、用户名、密码和VXLAN的标识，则该认证服务器可以确定认证失败，并生成用于指示认证结果为认证失败的第二报文。

由于本发明实施例以用户为合法用户为例，所以认证服务器上的认证表项中存在一条认证规则同时包括该认证报文中的接入设备的IP地址、用户名、密码以及VXLAN标识，认证服务器可以生成用于指示认证结果为认证成功的第一报文。

步骤408、认证服务器向业务路由器发送认证结果。

认证服务器在对该认证报文进行认证后，认证服务器可以将认证结果发送至业务路由器。示例的，该认证服务器可以将用于指示认证结果为认证成功的第一报文发送至业务路由器。

步骤409、业务路由器控制用户设备接入目标网络。

由于本发明实施例中的用户为合法用户，所以，步骤408中认证服务器发送给业务路由器的认证结果指示认证成功，该业务路由器允许用户接入网络，并可以控制用户设备接入网络，以及通知用户认证成功且已接入网络。

需要说明的是，若认证结果指示认证成功，则在步骤409之后，该业务路由器可以根据认证结果生成本地认证绑定表项，该本地认证绑定表项可以包括认证成功的接入设备的IP地址以及用户的认证信息。示例的，该本地认证绑定表项可以如表2所示，表2中记录了第一用户的认证信息C1与接入设备的IP地址A1的对应关系，以及第二用户的认证信息C2与接入设备的IP地址A2的对应关系。可选的，表2中的用户的认证信息C1或C2可以包括用户名、密码、用户的IP地址等信息。

表2

用户的认证信息	接入设备的IP地址
C1	A1
C2	A2

步骤410、用户设备通过接入设备和业务路由器向网络发送IP业务报文。

在业务路由器控制用户设备接入网络后，用户设备可以生成IP业务报文，并通过接入设备和业务路由器将IP业务报文发送至目标网络。

如图4-3所示，步骤410可以包括：

步骤4101、用户设备向接入设备发送IP业务报文。

在用户设备接入网络后，用户设备可以根据需要生成IP业务报文，并将生成的IP业务报文发送至用户设备接入的接入设备，该IP业务报文可以包括用户的至少一种认证信息，该至少一种认证信息可以包括用户的IP地址。需要说明的是，用户设备生成的IP业务报文的具体结构，可以参考在现有技术中用户设备生成的IP业务报文的具体结构，本发明实施例在此不作赘述。

步骤4102、接入设备封装IP业务报文，得到VXLAN业务报文。

示例的，接入设备在接收到用户设备发送的IP业务报文后，接入设备可以采用将MAC地址封装在UDP中的封装方式封装该IP业务报文，得到VXLAN业务报文。需要说明的是，步骤4102中接入设备封装IP业务报文的具体方式可以参考步骤402中接入设备封装IP请求报文的具体方式，本发明实施例在此不做赘述。

步骤4103、接入设备向业务路由器发送VXLAN业务报文。

接入设备在将用户设备发送的IP业务报文进行封装并得到VXLAN业务报文后，接入设备可以将VXLAN业务报文发送至业务路由器。

步骤4104、业务路由器解析VXLAN业务报文，得到外层源IP地址以及IP业务报文。

业务路由器在接收到VXLAN业务报文后，可以解析该VXLAN业务报文，得到该VXLAN业务报文中的信息，如从VXLAN业务报文中的Outer IP header封装部分得到外层源IP地址，从VXLAN业务报文中的IP业务报文得到用户的IP地址。

步骤4105、业务路由器判断外层源IP地址与本地认证绑定表项中记录的接入设备的IP地址是否相同。

一方面，在步骤401中用户设备发送至接入设备的IP请求报文中可以包括用户的IP地址，在步骤404中，业务路由器解析VXLAN请求报文还可以得到用户的IP地址。在步骤408之后，即在业务路由器接收到的认证结果指示认证成功之后，业务路由器建立的本地认证绑定表项中的认证信息中可以包括用户的IP地址。

另一方面，在步骤401中用户设备发送至接入设备的IP请求报文中可以不包括用户的IP地址，在步骤404中，业务路由器解析VXLAN请求报文无法得到用户的IP地址。在步骤407中，若认证成功，则认证服务器可以给用户分配一个IP地址，具体的，认证服务器发送至业务路由器的认证结果中可以包括分配给用户的IP地址。在步骤408中业务路由器接收到认证结果后，业务路由器可以将分配给用户的IP地址发送至用户设备，使得步骤4101中用户设备发送至接入设备的IP业务报文包括用户的IP地址，进一步的，该业务路由器还可以将分配给用户的IP地址存储在本地认证绑定表项中的认证信息中。

在步骤4105中，业务路由器可以根据步骤4104中解析得到的IP业务报文中的用户的认证信息(如用户的IP地址)，在本地认证绑定表项中查找用户的IP地址对应的接入设备的IP地址，并判断步骤4104中解析得到的外层源IP地址与该本地认证绑定表项中的接入设备的IP地址是否相同，若外层源IP地址与该本地认证绑定表项中的接入设备的IP地址相同，则确定该VXLAN业务报文中的IP业务报文安全；若外层源IP地址与该本地认证绑定表项中的接入设备的IP地址不同，则确定该VXLAN业务报文中的IP业务报文不安全。

步骤4106、在外层源IP地址与本地认证绑定表项中记录的接入设备的IP地址相同时，业务路由器向网络转发IP业务报文。

若外层源IP地址与本地认证绑定表项中记录的接入设备的IP地址相同，则业务路由器可以确定解析得到的IP业务报文安全，并将解析得到的IP业务报文转发至网络，示例的，可以将该IP业务报文转发至目标网络，或者将该IP业务报文转发至接入目标网络的核心网络，进而由核心网络将该IP业务报文转发至目标网络。

若用户为非法用户，则步骤408中认证服务器发送给业务路由器的认证结果指示认证失败，该业务路由器可以禁止用户接入网络，并通知用户认证失败。

需要说明的是，若用户为非法用户，一方面，在该业务路由器禁止用户接入网络后，该非法用户仍然可以控制用户设备生成IP业务报文，并将生成的IP业务报文发送至接入设备，由接入设备封装用户设备生成的IP业务报文，得到VXLAN业务报文，并将VXLAN业务报文发送至业务路由器；另一方面，步骤401中用户设备可以不生成IP请求报文，而直接生成IP业务报文，并将生成的IP业务报文发送至接入设备，由接入设备封装IP业务报文得到VXLAN业务报文，并将VXLAN业务报文发送至业务路由器。

业务路由器在接收到VXLAN业务报文后，可以解析该VXLAN业务报文，并判断外层源IP地址与本地认证绑定表项中记录的接入设备的IP地址是否相同。由于用户为非法用户，所以外层源IP地址与本地认证绑定表项中记录的接入设备的IP地址不相同，该业务路由器可以确定VXLAN业务报文中的IP业务报文不安全，并禁止转发IP业务报文，保证了网络的安全性。

现有技术中，由于在VLAN中用户认证的过程中，需要接入设备在IP请求报文中加插DHCP option82或PPPoE option+才能确定用户的物理位置信息，所以用户认证的过程较复杂。本发明中，在进行认证的过程中，接入设备直接封装用户发送的IP请求报文，且VXLAN请求报文包括接入设备的IP地址，且接入设备的IP地址可以间接的反映用户的物理位置信息，所以本发明中用户认证的过程较简单。且现有技术中，对用户输入的用户名和密码进行认证，由于用户名和密码能够被用户篡改，所以用户认证的可靠性较低；本发明中对接入设备的IP地址进行认证，由于VXLAN请求报文中的外层源IP地址为接入设备添加的，无法被用户篡改，因此，用户认证的可靠性较高。

如图5-1所示，本发明实施例提供了一种接入控制装置50，该接入控制装置50可以用于VXLAN，VXLAN还可以包括接入设备，该接入控制装置50可以包括：

第一接收模块501，用于接收接入设备发送的VXLAN请求报文，VXLAN请求报文是由用户发送的因特网协议IP请求报文封装得到的，VXLAN请求报文包括接入设备的IP地址以及用户的认证信息。

第一解析模块502，用于解析VXLAN请求报文，得到接入设备的IP地址以及用户的认证信息。

发送模块503，用于将接入设备的IP地址以及用户的认证信息发送至认证服务器，以便于认证服务器对用户进行认证。

第二接收模块504，用于接收认证服务器发送的认证结果。

控制模块505，用于根据认证结果控制用户。

可选的，控制模块505还可以用于：

在认证结果指示认证成功时，允许用户接入网络；

在认证结果指示认证失败时，禁止用户接入网络。

如图5-2所示，在图5-1所示的基础上，该接入控制装置50还可以包括：

生成模块506，用于在认证结果指示认证成功时，根据认证结果生成本地认证绑定表项，本地认证绑定表项包括接入设备的IP地址以及用户的认证信息。

如图5-3所示，在图5-2的基础上，该接入控制装置50可以包括：

第二接收模块504，用于接收认证服务器发送的认证结果。

控制模块505，用于根据认证结果控制用户。

第三接收模块507，用于接收VXLAN业务报文，VXLAN业务报文是由用户发送的IP业务报文封装得到的；

第二解析模块508，用于解析VXLAN业务报文，得到IP业务报文以及所述VXLAN 业务报文的VXLAN头中外层源IP地址；

处理模块509，用于根据本地认证绑定表项处理IP业务报文。

可选的，处理模块509还可以用于：

在外层源IP地址与本地认证绑定表项中记录的接入设备的IP地址相同时，转发IP业务报文；

在外层源IP地址与本地认证绑定表项中记录的接入设备的IP地址不相同时，禁止转发IP业务报文。

可选的，发送模块503还用可以于：

生成包括接入设备的IP地址以及用户的认证信息的认证报文；

将认证报文发送至认证服务器。

可选的，认证服务器为远程认证拨号用户服务器RADIUS，认证报文的87号属性字段包括接入设备的IP地址。

由于本发明实施例提供的接入控制装置中，第一接收模块接收的接入设备发送的VXLAN请求报文中包括接入设备的IP地址以及用户的认证信息，使得第一解析模块解析得到接入设备的IP地址以及用户的认证信息，然后发送模块将接入设备的IP地址和用户的认证信息发送至认证服务器对用户进行认证。由于在VXLAN中，每个用户对应的接入设备是唯一的，因此，能够预先在认证服务器中配置用于认证的用户对应的接入设备的IP地址以及用户的认证信息，从而实现对VXLAN场景下根据用户的接入信息对用户进行认证。

如图6所示，本发明实施例提供了一种接入控制系统60，该接入控制系统60可以包括：VXLAN 2和认证服务器1，VXLAN 2可以包括：接入设备21和业务路由器22，该业务路由器22可以包括图5-1、图5-2或图5-3所示的接入控制装置。

图7描述了本发明实施例提供的再一种接入控制装置的结构，该接入控制装置可以用于VXLAN，VXLAN还包括：接入设备，该接入控制装置包括至少一个处理器701(例如CPU)，至少一个网络接口702或者其他通信接口，存储器703，和至少一个通信总线704，用于实现这些装置之间的通信。处理器701用于执行存储器703中存储的可执行模块，例如计算机程序。存储器703可能包括高速随机存取存储器(英文：random access memory，简称：RAM)，也可能还包括非易失性存储器(英文：non-volatile memory)，例如至少一个磁盘存储器。通过至少一个网络接口702(可以是有线或者无线)实现该接入控制装置与至少一个其他网元之间的通信，可以使用互联网，广域网，本地网，城域网等。

在一些实施方式中，存储器703存储了程序7031，程序7031可以被处理器701执行以实现图3或图4-1所示的方法。

需要说明的是，本发明实施例提供的接入控制方法步骤的先后顺序可以进行适当调整，步骤也可以根据情况进行相应增减，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化的方法，都应涵盖在本发明的保护范围之内，因此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的接入控制装置和接入控制系统的具体工作过程，可以参考前述接入控制方法实施例中的对应过程，在此不再赘述。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。

Claims

一种接入控制方法，其特征在于，用于虚拟可扩展局域网VXLAN中的业务路由器，所述VXLAN还包括接入设备，所述方法包括：

接收所述接入设备发送的VXLAN请求报文，所述VXLAN请求报文是由用户发送的因特网协议IP请求报文封装得到的，所述VXLAN请求报文包括所述接入设备的IP地址以及所述用户的认证信息；

解析所述VXLAN请求报文，得到所述接入设备的IP地址以及所述用户的认证信息；

将所述接入设备的IP地址以及所述用户的认证信息发送至认证服务器，以便于所述认证服务器对所述用户进行认证；

接收所述认证服务器发送的认证结果；

根据所述认证结果控制所述用户。
根据权利要求1所述的方法，其特征在于，所述根据所述认证结果控制所述用户，包括：

在所述认证结果指示认证成功时，允许所述用户接入网络；

在所述认证结果指示认证失败时，禁止所述用户接入网络。
根据权利要求2所述的方法，其特征在于，所述方法还包括：

在所述认证结果指示认证成功时，根据所述认证结果生成本地认证绑定表项，所述本地认证绑定表项包括所述接入设备的IP地址以及所述用户的认证信息。
根据权利要求3所述的方法，其特征在于，所述方法还包括：

接收VXLAN业务报文，所述VXLAN业务报文是由用户发送的IP业务报文封装得到的；

解析所述VXLAN业务报文，得到所述IP业务报文以及所述VXLAN业务报文的VXLAN头中外层源IP地址；

根据所述本地认证绑定表项处理所述IP业务报文。
根据权利要求4所述的方法，其特征在于，所述根据所述本地认证绑定表项处理所述IP业务报文，包括：

在所述外层源IP地址与所述本地认证绑定表项中记录的所述接入设备的IP地址相同时，转发所述IP业务报文；

在所述外层源IP地址与所述本地认证绑定表项中记录的所述接入设备的IP地址不相同时，禁止转发所述IP业务报文。
根据权利要求1至5任一所述的方法，其特征在于，将所述接入设备的IP地址以及所述用户的认证信息发送至认证服务器，包括：

生成包括所述接入设备的IP地址以及所述用户的认证信息的认证报文；

将所述认证报文发送至所述认证服务器。
根据权利要求6所述的方法，其特征在于，所述认证服务器为远程认证拨号用户服务器RADIUS，

所述认证报文的87号属性字段包括所述接入设备的IP地址。
一种接入控制装置，其特征在于，用于虚拟可扩展局域网VXLAN，所述VXLAN还包括接入设备，所述接入控制装置包括：

第一接收模块，用于接收所述接入设备发送的VXLAN请求报文，所述VXLAN请求报文是由用户发送的因特网协议IP请求报文封装得到的，所述VXLAN请求报文包括所述接入设备的IP地址以及所述用户的认证信息；

第一解析模块，用于解析所述VXLAN请求报文，得到所述接入设备的IP地址以及所述用户的认证信息；

发送模块，用于将所述接入设备的IP地址以及所述用户的认证信息发送至认证服务器，以便于所述认证服务器对所述用户进行认证；

第二接收模块，用于接收所述认证服务器发送的认证结果；

控制模块，用于根据所述认证结果控制所述用户。
根据权利要求8所述的接入控制装置，其特征在于，所述控制模块还用于：

在所述认证结果指示认证成功时，允许所述用户接入网络；

在所述认证结果指示认证失败时，禁止所述用户接入网络。
根据权利要求9所述的接入控制装置，其特征在于，所述接入控制装置还包括：

生成模块，用于在所述认证结果指示认证成功时，根据所述认证结果生成本地认证绑定表项，所述本地认证绑定表项包括所述接入设备的IP地址以及所述用户的认证信息。
根据权利要求10所述的接入控制装置，其特征在于，所述接入控制装置还包括：

第三接收模块，用于接收VXLAN业务报文，所述VXLAN业务报文是由用户发送的IP业务报文封装得到的；

第二解析模块，用于解析所述VXLAN业务报文，得到所述IP业务报文以及所述VXLAN业务报文的VXLAN头中外层源IP地址；

处理模块，用于根据所述本地认证绑定表项处理所述IP业务报文。
根据权利要求11所述的接入控制装置，其特征在于，所述处理模块还用于：

在所述外层源IP地址与所述本地认证绑定表项中记录的所述接入设备的IP地址相同时，转发所述IP业务报文；

在所述外层源IP地址与所述本地认证绑定表项中记录的所述接入设备的IP地址不相同时，禁止转发所述IP业务报文。
根据权利要求8至12任一所述的接入控制装置，其特征在于，所述发送模块还用于：

生成包括所述接入设备的IP地址以及所述用户的认证信息的认证报文；

将所述认证报文发送至所述认证服务器。
根据权利要求13所述的接入控制装置，其特征在于，所述认证服务器为远程认证拨号用户服务器RADIUS，

所述认证报文的87号属性字段包括所述接入设备的IP地址。
一种接入控制系统，其特征在于，所述接入控制系统包括：虚拟可扩展局域网VXLAN和认证服务器，所述VXLAN包括：接入设备和业务路由器，

所述业务路由器包括：权利要求8至14任一所述的接入控制装置。