CN103067416A - 一种虚拟私云接入认证方法及相关装置 - Google Patents
一种虚拟私云接入认证方法及相关装置 Download PDFInfo
- Publication number
- CN103067416A CN103067416A CN2011103169446A CN201110316944A CN103067416A CN 103067416 A CN103067416 A CN 103067416A CN 2011103169446 A CN2011103169446 A CN 2011103169446A CN 201110316944 A CN201110316944 A CN 201110316944A CN 103067416 A CN103067416 A CN 103067416A
- Authority
- CN
- China
- Prior art keywords
- vpn
- vpc
- request
- sign
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种虚拟私云接入认证方法及相关装置,用于在使用IP路由协议通信的网络间进行VPC的接入认证。本发明实施例方法包括:VPN路由设备接收云管理器发送的虚拟私云VPC接入虚拟私有网VPN请求,所述VPC接入VPN请求中携带有目标VPN的承载网的标识以及VPN标识;所述VPN路由设备向所述承载网的标识对应的网络边缘设备发送VPC接入请求,所述VPC接入请求中携带有所述VPN标识,使得所述网络边缘设备根据所述VPN标识进行VPC的接入认证。
Description
技术领域
本发明涉及通信领域,尤其涉及一种虚拟私云接入认证方法及相关装置。
背景技术
随着数据中心的流行,企业不需要再去购买设备,布置自己的信息技术(IT,Information Technology)中心。企业可以在数据中心里申请一组IT资源,为本企业提供云计算的服务,IT资源由数据中心管理。数据中心里的硬件资源以虚拟化设备的形式为企业提供云服务,比如企业申请N台服务器,数据中心不会物理上划分N台服务器给企业使用,而是根据用户对服务器的要求,比如中央处理器(CPU,Central Processing Unit),内存,硬盘大小等要求,在硬件资源中虚拟出N台服务器给企业使用。这些虚拟的服务器,即用户申请的资源,构成一个虚拟私云(VPC,Virtual Private Cloud)。企业用户希望在数据中心内创建的VPC能加入自己的虚拟私有网(VPN,Virtual PrivateNetwork),安全访问VPC内的资源。承载网运营商需要对VPC接入VPN进行接纳控制,避免VPC误加入VPN。比如公司A的VPC绑定到公司B的VPN中,导致公司A的信息泄露,存在安全隐患。另一方面,VPN路由信息在未授权的情况下不应该散播到未知站点中。所以VPC加入VPN前需要验证其合法性,严格控制路由散播范围。
在现有技术中,美国电气和电子工程师协会(Institute of Electrical andElectronics Engineers)IEEE802.1x结合远程用户拨号认证***(RADIUS,Remote Authentication Dial In User Service)技术可以实现认证、获取配置参数的功能。但是,由于运营商边缘设备(PE,Provider Edge)网关与数据中心(Data Center)网关之间是通过因特网(IP,Internet Protocol)路由协议(即3层协议)连接的,而802.1x技术只能应用于以太网协议(即2层协议),需要进VPC接入认证的请求到达DC网关侧就无法继续传输。
发明内容
本发明实施例提供了一种虚拟私云接入认证方法及相关装置,用于在使用IP路由协议通信的网络间进行VPC的接入认证。
根据本发明的一个方面,一种虚拟私云VPC接入认证方法,包括:
虚拟私有网VPN路由设备接收云管理器发送的虚拟私云VPC接入虚拟私有网VPN请求,所述VPC接入VPN请求中携带有目标VPN的承载网的标识以及VPN标识;
所述VPN路由设备向所述承载网的标识对应的网络边缘设备发送VPC接入请求,所述VPC接入请求中携带有所述VPN标识,使得所述网络边缘设备根据所述VPN标识进行VPC的接入认证。
可选地,所述向承载网的标识对应的网络边缘设备发送VPC接入请求之后,包括:
接收所述网络边缘设备返回的认证响应;
若所述认证响应指示为成功,则提取所述认证响应中携带的VPN配置参数,并根据所述VPN配置参数配置VPN实例;
根据所述认证响应向所述云管理器发送认证结果。
可选地,所述VPN标识包括:
VPN用户名称;
或,VPN用户名称和密码;
或,VPN名称;
或,VPN名称和密码。
可选地,所述承载网的标识为:网络边缘设备地址,承载网号,承载网名称和目标自治***AS号中的一个或多个;
若所述承载网的标识为网络边缘设备地址,则所述向承载网的标识对应的网络边缘设备发送VPC接入请求,包括:向网络边缘设备地址对应的网络边缘设备发送VPC接入请求;
若所述承载网的标识为承载网号,承载网名称或目标AS号,则所述向承载网的标识对应的网络边缘设备发送VPC接入请求,包括:根据承载网路由表向所述承载网号、所述承载网名称或所述目标AS号对应的网络边缘设备发送VPC接入请求。
可选地,所述根据承载网路由表向所述目标AS号对应的网络边缘设备发送VPC接入请求,包括:
根据承载网路由列表的路径确定下一跳的第一网络边缘设备;
向所述第一网络边缘设备发送VPC接入认证请求,所述VPC接入认证请求还携带有所述目标AS号;
若所述第一网络边缘设备不是所述目标AS号对应的网络边缘设备,则所述第一网络边缘设备根据所述承载网路由表确定下一跳的第二网络边缘设备,并继续向所述第二网络边缘设备转发所述VPC接入认证请求,直至将所述VPC接入认证请求转发到所述目标AS号对应的网络边缘设备为止。
根据本发明的另一方面,一种虚拟私云VPC接入认证方法,包括:
云管理器接收VPC创建请求,所述VPC创建请求中包括:目标虚拟私有网VPN的承载网的标识以及VPN标识;
所述云管理器根据所述承载网的标识查找与所述承载网连接的VPN路由设备;
所述云管理器向所述VPN路由设备发送VPC加入VPN的请求,所述VPC接入VPN请求中携带有所述承载网的标识以及VPN标识,使得所述VPN路由设备使用所述VPN标识向所述承载网的标识对应的网络边缘设备发起VPC接入认征。
可选地,所述向VPN路由设备发送VPC加入VPN的请求之后,包括:
接收VPN路由设备返回的认证结果;
若所述认证结果为成功,则所述云管理器在VPN路由设备内创建VPC,并将所述VPC和VPN路由设备上配置的VPN绑定。
可选地,所述VPN标识包括:
VPN用户名称;
或,VPN用户名称和密码;
或,VPN名称;
或,VPN名称和密码。
可选地,包括:
虚拟私有网VPN路由设备接收云管理器发送的VPC接入VPN请求,所述VPC接入VPN请求中携带有目标VPN的VPN标识,所述目标VPN对应有唯一的网络边缘设备;
所述VPN路由设备向所述网络边缘设备发送VPC接入请求,所述VPC接入请求中携带有所述VPN标识,使得所述网络边缘设备根据所述VPN标识进行VPC的接入认证。
可选地,所述向网络边缘设备发送VPC接入请求之后,包括:
接收所述网络边缘设备返回的认证响应;
若所述认证响应指示为成功,则提取所述认证响应中携带的VPN配置参数,并根据所述VPN配置参数配置VPN实例;
根据所述认证响应向所述云管理器发送认证结果。
可选地,所述VPN标识包括:
VPN用户名称;
或,VPN用户名称和密码;
或,VPN名称;
或,VPN名称和密码。
根据本发明的又一方面,一种虚拟私云接入认证方法,包括:
云管理器接收VPC创建请求,所述VPC创建请求中包括:目标VPN的VPN标识,所述目标VPN对应有唯一的承载网;
所述云管理器向与所述承载网连接的VPN路由设备发送VPC加入VPN的请求,所述VPC接入VPN请求中携带有所述VPN标识,使得所述VPN路由设备使用所述VPN标识向网络边缘设备发起VPC接入认证。
可选地,所述向VPN路由设备发送VPC加入VPN的请求之后,包括:
接收VPN路由设备返回的认证结果;
若所述认证结果为成功,则云管理器在VPN路由设备内创建VPC,并将所述VPC和VPN路由设备上配置的VPN绑定。
可选地,所述VPN标识包括:
VPN用户名称;
或,VPN用户名称和密码;
或,VPN名称;
或,VPN名称和密码。
根据本发明的又一方面,一种虚拟私云VPC接入认证方法,包括:
网络边缘设备接收虚拟私有网VPN路由设备发送的VPC接入请求,所述VPC接入请求中携带有目标VPN的VPN标识;
所述网络边缘设备向目标VPN的承载网对应的认证***发送认证请求,所述认证请求中携带有所述VPN标识,使得所述认证***对所述VPN标识进行认证;
若认证成功,则所述网络边缘设备接收所述认证***发送的VPN配置参数,并向所述VPN路由设备返回认证响应,所述认证响应中携带有所述VPN配置参数。
可选地,所述接收认证***发送的VPN配置参数之后,包括:
提取所述VPN配置参数中的VPN接入参数;
将所述VPN接入参数添加到出口路由过滤列表ORF中,表示可以向所述VPN路由设备转发所述承载网内的VPN路由表。
可选地,所述接收认证***发送的VPN配置参数之后,包括:
提取所述VPN配置参数中的接入带宽参数;
根据所述接入带宽参数进行接入带宽限制的配置。
根据本发明的又一方面,一种虚拟私云VPC删除方法,包括:
虚拟私有网VPN路由设备接收云管理器发送的VPC删除请求,所述VPC删除请求中携带有目标VPN的承载网的网络边缘设备地址和VPC标识;
所述VPN路由设备删除所述VPC标识对应的VPN实例;
所述VPN路由设备向所述网络边缘设备地址对应的网络边缘设备发送VPC删除通知,所述VPC删除通知中携带有所述VPC标识,使得所述网络边缘设备通知认证***删除所述VPC标识对应的相关认证信息。
根据本发明的又一方面,一种虚拟私云VPC删除方法,包括:
云管理器接收第一VPC删除请求,所述第一VPC删除请求中携带有VPC标识;
所述云管理器根据所述VPC标识查找目标虚拟私有网VPN的承载网,并确定与所述承载网连接的VPN路由设备和网络边缘设备地址;
所述云管理器向所述VPN路由设备发送第二VPC删除请求,所述第二VPC删除请求中携带有所述网络边缘设备地址以及所述VPC标识。
根据本发明的又一方面,一种虚拟私有网VPN路由设备,包括:
第一接收单元,用于接收云管理器发送的虚拟私云VPC接入虚拟私有网VPN请求,所述VPC接入VPN请求中携带有目标VPN的承载网的标识以及VPN标识;
发送单元,用于向所述承载网的标识对应的网络边缘设备发送VPC接入请求,所述VPC接入请求中携带有所述VPN标识,使得所述网络边缘设备根据所述VPN标识进行VPC的接入认证。
可选地,所述VPN路由设备还包括:
第二接收单元,用于接收所述网络边缘设备返回的认证响应;
实例配置单元,用于若所述认证响应指示为成功,则提取所述认证响应中携带的VPN配置参数,并根据所述VPN配置参数配置VPN实例;
结果响应单元,用于根据所述认证响应向所述云管理器发送认证结果。
根据本发明的又一方面,一种云管理器,包括:
请求接收单元,用于接收虚拟私有云VPC创建请求,所述VPC创建请求中包括有:目标虚拟私有网VPN的承载网的标识以及VPN标识;
查找单元,用于根据所述承载网的标识查找与所述承载网连接的VPN路由设备;
请求发送单元,用于向所述VPN路由设备发送VPC加入VPN的请求,所述VPC接入VPN请求中携带有所述承载网的标识以及VPN标识,使得所述VPN路由设备使用所述VPN标识向所述承载网的标识对应的网络边缘设备发起VPC接入认证。
可选地,所述云管理器还包括:
响应接收单元,用于接收VPN路由设备返回的认证结果;
创建单元,用于若所述认证结果为成功,则所述云管理器在VPN路由设备内创建VPC,并将所述VPC和VPN路由设备上配置的VPN绑定。
根据本发明的又一方面,一种虚拟私有网VPN路由设备,包括:
VPN请求接收单元,用于接收云管理器发送的虚拟私有云VPC接入VPN请求所述VPC接入VPN请求中携带有目标VPN的VPN标识,所述目标VPN对应有唯一的网络边缘设备;
接入请求发送单元,用于向所述网络边缘设备发送VPC接入请求,所述VPC接入请求中携带有所述VPN标识,使得所述网络边缘设备根据所述VPN标识进行VPC的接入认证。
可选地,所述VPN路由设备还包括:
接收单元,用于接收所述网络边缘设备返回的认证响应;
实例配置单元,用于若所述认证响应指示为成功,则提取所述认证响应中携带的VPN配置参数,并根据所述VPN配置参数配置VPN实例;
结果响应单元,用于根据所述认证响应向所述云管理器发送认证结果。
根据本发明的又一方面,一种云管理器,包括:
虚拟私有云VPC请求接收单元,用于接收VPC创建请求,所述VPC创建请求中包括有:目标虚拟私有网VPN的VPN标识,所述目标VPN对应有唯一的承载网;
VPN请求发送单元,用于向与所述承载网连接的VPN路由设备发送VPC加入VPN的请求,所述VPC接入VPN请求中携带有所述VPN标识,使得所述VPN路由设备使用所述VPN标识向网络边缘设备发起VPC接入认证。
可选地,所述云管理器还包括:
响应接收单元,用于接收VPN路由设备返回的认证结果;
创建单元,用于若所述认证结果为成功,则所述云管理器在VPN路由设备内创建VPC,并将所述VPC和VPN路由设备上配置的VPN绑定。
根据本发明的又一方面,一种网络边缘设备,包括:
接入请求接收单元,用于接收虚拟私有网VPN路由设备发送的虚拟私有云VPC接入请求,所述VPC接入请求中携带有目标VPN的VPN标识;
认证请求发送单元,用于向目标VPN的承载网对应的认证***发送认证请求,所述认证请求中携带有所述VPN标识,使得所述认证***对所述VPN标识进行认证;
认证响应单元,用于若认证成功,则所述网络边缘设备接收所述认证***发送的VPN配置参数,并向所述VPN路由设备返回认证响应,所述认证响应中携带有所述VPN配置参数。
可选地,所述网络边缘设备还包括:
第一配置单元,用于提取所述VPN配置参数中的VPN接入参数,将所述VPN接入参数添加到出口路由过滤列表ORF中,表示可以向所述VPN路由设备转发所述承载网内的VPN路由表;
第二配置单元,用于提取所述VPN配置参数中的接入带宽参数,根据所述接入带宽参数进行接入带宽限制的配置。
根据本发明的又一方面,一种虚拟私有网VPN路由设备,包括:
删除请求接收单元,用于接收云管理器发送的虚拟私有云VPC删除请求,所述VPC删除请求中携带有目标VPN的承载网的网络边缘设备地址和VPC标识;
实例删除单元,用于删除所述VPC标识对应的VPN实例;
通知发送单元,用于向所述网络边缘设备地址对应的网络边缘设备发送VPC删除通知,所述VPC删除通知中携带有所述VPC标识,使得所述网络边缘设备通知认证***删除所述VPC标识对应的相关认证信息。
根据本发明的又一方面,一种云管理器,包括:
删除接收单元,用于接收第一虚拟私有云VPC删除请求,所述第一VPC删除请求中携带有VPC标识;
目标查找单元,用于根据所述VPC标识查找目标虚拟私有网VPN的承载网,并确定与所述承载网连接的VPN路由设备和网络边缘设备地址;
删除请求发送单元,用于向所述VPN路由设备发送第二VPC删除请求,所述第二VPC删除请求中携带有所述网络边缘设备地址以及所述VPC标识。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中的VPN路由设备接收的VPC接入VPN请求中携带有目标VPN的承载网的标识,使得VPN路由设备可以根据该承载网的标识查找到相应的网络边缘设备(采用IP路由协议的网络设备)的地址,由此,即可实现VPC的接入认证跨越3层网络的通信,从而可以使得该网络边缘设备进行VPC的接入认证。
附图说明
图1是本发明实施例虚拟私云接入认证方法的一个流程示意图;
图2是本发明实施例虚拟私云接入认证方法的另一个流程示意图;
图3是本发明实施例虚拟私云接入认证方法的另一个流程示意图;
图4是本发明实施例虚拟私云接入认证方法的另一个流程示意图;
图5是本发明实施例虚拟私云接入认证方法的另一个流程示意图;
图6是本发明实施例虚拟私云接入认证方法的另一个流程示意图;
图7是本发明实施例虚拟私云删除方法的一个流程示意图;
图8是本发明实施例虚拟私云删除方法的另一个流程示意图;
图9是本发明实施例VPN路由设备的一个结构示意图;
图10是本发明实施例云管理器的一个结构示意图;
图11是本发明实施例VPN路由设备的另一个结构示意图;
图12是本发明实施例云管理器的另一个结构示意图;
图13是本发明实施例网络边缘设备的一个结构示意图;
图14是本发明实施例VPN路由设备的另一个结构示意图;
图15是本发明实施例云管理器的另一个结构示意图;
图16是本发明实施例所属的云网络结构图。
具体实施方式
本发明实施例提供了一种虚拟私云接入认证方法及相关装置,用于在使用IP路由协议通信的网络间进行VPC的接入认证。
本发明的实施例应用于云网络***,请参阅图16,云网络***可以包括:云业务平台、云管理器、VPN路由设备、网络边缘设备以及网络边缘设备对应的认证***。云业务平台用于为用户提供服务界面,接收用户的业务请求;云业务平台将接收到的业务请求发送给云管理器进行处理;而云管理器是负责管理数据中心云资源和网络资源,VPN路由设备数据中心的路由设备,因此云管理器也可以对VPN路由设备进行控制管理,VPN路由设备的两端分别与云管理器和网络边缘设备相连接。
请参阅图1,是本发明实施例中虚拟私云VPC接入认证方法的一个实施例。该方法包括:
101、VPN路由设备接收云管理器发送的VPC接入VPN请求;
VPN路由设备接收云管理器发送的VPC接入VPN请求,若在数据中心和多个承载网相连,或数据中心和目标VPN的承载网不是直接相连的场景中,该VPC接入VPN请求中携带目标VPN的承载网的标识以及VPN标识,所述目标VPN为VPC所需要接入的VPN。
所述VPN路由设备可以配置VPN实例,并可在VPN内执行路由功能;该VPN路由设备可以为DC网关、DC内核心路由器、DC内核心交换机、或DC内的服务器;具体实现VPN路由设备功能的物理设备可以根据情况而定,此处不作限定。
具体的,若需要创建VPC,则用户在通过云业务平台向云管理器发送VPC创建请求时,会为云管理器提供该VPC所需要接入的VPN(即目标VPN)的承载网的标识,以及VPN标识;而云管理器会根据该承载网的标识查找到与该承载网连接的VPN路由设备,并向VPN路由设备发送VPC接入VPN请求,使得VPN路由设备向相应的网络边缘设备发起VPC的接入认证。
102、VPN路由设备向承载网的标识对应的网络边缘设备发送VPC接入请求。
VPN路由设备向所述承载网的标识对应的网络边缘设备发送VPC接入请求,该VPC接入请求中携带有所述VPN标识,使得该网络边缘设备根据VPN标识进行VPC的接入认证,所述VPC接入请求是使用网络协议IP路由协议封装的数据报文。
所述VPN标识是由用户提供的,为VPC接入认证的用户信息;具体可以为:
(1)VPN用户名称,或
(2)VPN用户名称和密码,或
(3)VPN名称,或
(4)VPN名称和密码。
由于VPN标识涉及用户信息,为了保证用户信息的安全,在封装VPC接入请求时,VPN路由设备可以使用挑战(challenge)机制对VPN标识进行加密。
本发明实施例中的VPN路由设备接收的VPC接入VPN请求中携带有目标VPN的承载网的标识,使得VPN路由设备可以根据该承载网的标识查找到相应的网络边缘设备(使用IP路由协议的网络边缘设备)的地址,由此,即可实现VPC的接入认证跨越3层网络的通信,从而可以使得该网络边缘设备进行VPC的接入认证。
图2对如何查找到目标VPN的承载网标识对应的网络边缘设备进行详细地描述,请参阅图2,本发明实施例中虚拟私云接入认证方法的另一个实施例包括:
201、VPN路由设备接收云管理器发送的VPC接入VPN请求;
本实施例中的步骤201的内容与前述图1所示的实施例中步骤101的内容相同,此处不再赘述。
202、VPN路由设备确认承载网的标识对应的网络边缘设备;
在接收到VPC接入VPN请求之后,VPN路由设备提取VPC接入VPN请求中的承载网的标识,并使用该承载网的标识确认需要发送该VPC接入请求的网络边缘设备。
可选的,所述承载网的标识可以为网络边缘设备地址,所述承载网标识对应的承载网名称,所述承载网标识对应的承载网号或所述承载网标识对应的目标自治***(AS,Autonomous System)号(一个目标AS号表示一个自治域)中的一个或多个。
若该承载网的标识为网络边缘设备地址,则该网络边缘设备地址对应的网络边缘设备为需要发送VPC接入请求的网络边缘设备;所述网络边缘设备地址可以为网络边缘设备的IP地址;
若该承载网的标识为承载网名称或承载网号,则可以通过VPN路由设备存储的承载网路由表查找相应的网络边缘设备;具体的,VPN路由设备可以根据所述承载网名称或承载网号在所述承载网路由表上查找到相应的网络边缘设备;
若该承载网的标识为目标AS号,则也可以通过VPN路由设备存储的承载网路由表查找相应的网络边缘设备;具体的,VPN路由设备可以根据所述目标AS号在所述承载网路由表上查找相应的网络边缘设备,具体的,目标AS号可以是手工配置的,也可以由网络设备自学习得到的。
承载网路由表为各个网络间可到达的网络设备的路由表,可以为手工配置的路由表,比如:<目的网络标识,网络边缘设备>。该目的网络标识可以为唯一确定一个承载网的标识,比如承载网名称、承载网号、AS号等中的一个或多个。承载网路由表也可以为自学习的AS路由表。AS路由表是在每个自治***边界路由器(ASBR,Autonomous System Border Router)上构造的以AS为目的的路由。AS路由表项构造方法可以为:扩展ASBR的功能,提取边界网关协议(BGP,Border Gateway Protocol)路由器发布的自治***路径AS_PATH,取出可达网络所属的AS号,生成到达目标AS的AS路由表项:<目的AS,下一跳地址,出接口>。在承载网路由表上,不同的网络边缘设备分属于不同的承载网,且不同的网络边缘设备分属于不同的自治***中的自治域。因此,根据承载网号,承载网名称和目标AS号中的一个或多个可以唯一的确定一个网络边缘设备。
203、VPN路由设备向所述确定的网络边缘设备发送VPC接入请求。
VPN路由设备向所述确定的网络边缘设备发送VPC接入请求,该VPC接入请求中携带有所述VPN标识,使得该网络边缘设备根据所述VPN标识进行VPC的接入认证。
可选的,若所述承载网的标识为网络边缘设备地址,则直接向网络边缘设备地址对应的网络边缘设备发送VPC接入请求;
可选的,若所述承载网的标识为承载网名称,则向根据该承载网名称在所述承载网路由表上查找到的网络边缘设备送VPC接入请求;
可选地,若该承载网的标识为目标AS号,则VPN路由设备查找下一跳的第一网络边缘设备,并向该第一网络边缘设备发送VPC接入请求,该第一网络边缘设备为到达目标AS号对应网络边缘设备的路径上,与该VPN路由设备连接的网络边缘设备。可选地,该VPC接入认证请求还可以携带有所述目标AS号;若所述第一网络边缘设备不是该目标AS号对应的网络边缘设备,则第一网络边缘设备根据承载网路由表确定下一跳的第二网络边缘设备,并继续向第二网络边缘设备转发该VPC接入认证请求,直至将该VPC接入认证请求转发到目标AS号对应的网络边缘设备为止。该承载网的标识为目标AS号的场景适用于VPC接入认证请求跨越多个自治域传输,使得VPC的接入认证可以跨越多个网络进行。该承载网路由表可以为第一网络边缘设备预配置好的,也可以由第一网络边缘设备自学习承载网路由表。
204、VPN路由设备接收网络边缘设备返回的认证响应;
VPN路由设备接收所述网络边缘设备返回的认证响应,该认证响应中携带有VPN配置参数。
可选的,VPN配置参数包括有配置VPN实例的参数,该配置VPN实例的参数可以是路由目标参数。可选地,所述VPN配置参数还可以包括附属参数,所述附属参数可以是访问策略、接入带宽参数和业务优先级参数中的一个或多个。
205、VPN路由设备根据VPN配置参数配置VPN实例;
在接收到网络边缘设备返回的认证响应之后,若所述认证响应指示为认证成功,VPN路由设备提取所述认证响应中携带的VPN配置参数,并根据该VPN配置参数配置VPN实例。
具体的,三层VPN(L3VPN)的配置可以是:VPN路由设备提取VPN配置参数中的路由目标(RT,Route Target)参数,配置虚拟路由转发(VRF,Virtual Routing Forwarding):vpn-instance vpna;vpn-target 111∶1 both。二层VPN(L2VPN)的配置可以是:提取RT参数,site id,site range,offset,配置虚拟交换实例(VSI,Virtual Switch Instance)。
可选的,若VPN配置参数中包含有服务质量(QoS,Quality of Service)参数,如果该QoS参数是接入带宽参数,则VPN路由设备可以使用该接入带宽参数配置VPC接入数据中心网关的带宽限制;如果该QoS参数是业务优先级参数,则VPN路由设备可以使用该业务优先级参数配置优先级队列的权重和/或入队列策略。
206、VPN路由设备根据认证响应向云管理器发送认证结果。
在接收到网络边缘设备返回的认证响应之后,VPN路由设备根据所述认证响应向云管理器发送认证结果。当VPC的接入认证成功时,可以使得云管理器创建VPC,并将该VPC和VPN路由设备上配置的VPN绑定。
图3是从VPN路由设备的角度对本发明实施例中的虚拟私云接入认证方法进行了描述,下面从云管理器的角度进行对本发明实施例中的虚拟私云接入认证方法进行描述,请参阅图3,是本发明实施例中的虚拟私云接入认证方法另一实施例。该方法包括:
301、云管理器接收VPC创建请求;
云管理器接收VPC创建请求,该VPC创建请求中包括:目标VPN的承载网的标识和VPN标识中的一个或多个,所述目标VPN为所述VPC所需要接入的VPN。
具体的,若需要创建VPC,则用户可以通过云业务平台向云管理器发送VPC创建请求,该VPC创建请求中携带有目标VPN的承载网的标识以及进行VPC接入认证时需要用到的VPN标识。
可选的,所述VPN标识可以为可以为:
(1)VPN用户名称,或
(2)VPN用户名称和密码,或
(3)VPN名称,或
(4)VPN名称和密码。
由于VPN标识涉及用户信息,为了保证用户信息的安全,在封装VPC接入请求时,VPN路由设备可以使用challenge机制对VPN标识进行加密。
可选的,所述承载网的标识可以为网络边缘设备地址、承载网号、承载网名称和目标AS号中的一个或多个。
302、云管理器根据承载网的标识查找与承载网连接的VPN路由设备;
在云管理器接收到VPC创建请求之后,云管理器提取该VPC创建请求中携带的承载网的标识,根据该承载网的标识查找到与该承载网的标识对应的承载网连接的VPN路由设备。
云管理器根据承载网的标识可以在云管理器本地存储的承载网路由表上查找到与该承载网的标识对应的承载网连接的VPN路由设备。具体的,由于在与某一个网络边缘设备连接的路径上,唯一的经过一个VPN路由设备,因此,云管理器可以根据网络边缘设备地址、承载网号、承载网名称和目标AS号中的一个或多个唯一的确定一个VPN路由设备。
303、云管理器向VPN路由设备发送VPC加入VPN的请求;
云管理器向上述查找到的VPN路由设备发送VPC加入VPN的请求,该VPC接入VPN的请求中携带有目标VPN的承载网的标识以及VPN标识,VPN路由设备可以使用该VPN标识向该承载网的标识对应的网络边缘设备发起VPC接入认证。
可选的,若该承载网的标识为承载网号,承载网名称和目标AS号中的一个或多个,则云管理器可以通过该承载网号,承载网名称和目标AS号中的一个或多个在本地存储的承载网路由表上查找到需要进行接入认证的网络边缘设备,在向VPN路由设备发送VPC加入VPN的请求时,可以直接让VPC加入VPN发请求中携带该网络边缘设备的地址。
304、云管理器接收VPN路由设备返回的认证结果;
云管理器接收VPN路由设备返回的认证结果,若该认证结果为成功,则云管理器在VPN路由设备内创建VPC,并将该VPC和VPN路由设备上配置的VPN绑定。
在数据中心只直接和目标VPN的一个承载网相连的场景中,本发明实施例提供了相应的解决方案,请参阅图4,本发明实施例中虚拟私云接入认证方法的另一个实施例包括:
401、VPN路由设备接收云管理器发送的VPC接入VPN请求;
VPN路由设备接收云管理器发送的VPC接入VPN请求,在数据中心只直接和目标VPN的一个承载网相连的场景中,该VPC接入VPN请求中携带有目标VPN的VPN标识,所述目标VPN为VPC所需要接入的VPN,该目标VPN对应有唯一的网络边缘设备。
所述VPN路由设备可以配置VPN实例,并可在VPN内执行路由功能;该VPN路由设备可以为DC网关、DC内核心路由器、DC内核心交换机、或DC内的服务器;具体实现VPN路由设备功能的物理设备可以根据情况而定,此处不作限定。
具体的,若需要创建VPC,则用户在通过云业务平台向云管理器发送VPC创建请求时,在数据中心只直接和目标VPN的一个承载网相连的场景中,用户会为云管理器提供VPC标识;而云管理器在接收到VPC创建请求后,直接向与该承载网连接的VPN路由设备发送VPC接入VPN请求,使得VPN路由设备向相应的网络边缘设备发起VPC的接入认证。
402、VPN路由设备向网络边缘设备发送VPC接入请求;
VPN路由设备向所述目标VPN唯一对应的网络边缘设备发送VPC接入请求,该VPC接入请求中携带有所述VPN标识,使得该网络边缘设备根据所述VPN标识进行VPC的接入认证,所述VPC接入请求是使用IP路由协议封装的数据报文。
所述VPN标识是由用户提供的,为VPC接入认证的用户信息。所述VPN标识可以为:
(1)VPN用户名称,或
(2)VPN用户名称和密码,或
(3)VPN名称,或
(4)VPN名称和密码。
由于VPN标识涉及用户信息,为了保证用户信息的安全,在封装VPC接入请求时,VPN路由设备可以使用challenge机制对VPN标识进行加密。
403、VPN路由设备接收网络边缘设备返回的认证响应;
VPN路由设备接收网络边缘设备返回的认证响应,该认证响应中携带有VPN配置参数。
可选的,VPN配置参数包括有配置VPN实例的参数,所述配置VPN实例的参数可以是路由目标参数。VPN配置参数还可以包括附属参数,所述附属参数可以是访问策略、接入带宽参数和业务优先级参数中的一个或多个。
404、VPN路由设备根据VPN配置参数配置VPN实例;
在接收到网络边缘设备返回的认证响应之后,若所述认证响应指示为认真成功,VPN路由设备提取所述认证响应中携带的VPN配置参数,并根据该VPN配置参数配置VPN实例,
可选的,若VPN配置参数中包含有服务质量(QoS,Quality of Service)参数,如果该QoS参数为接入带宽参数,则VPN路由设备可以使用该接入带宽参数配置VPC接入数据中心网关的带宽限制;如果该QoS参数为业务优先级参数,则VPN路由设备可以使用该业务优先级参数配置优先级队列的权重和/或入队列策略。
405、VPN路由设备根据认证响应向云管理器发送认证结果。
在接收到网络边缘设备返回的认证响应之后,VPN路由设备根据所述认证响应向云管理器发送认证结果。当VPC的接入认证成功时,可以使得云管理器创建VPC,并将该VPC和VPN路由设备上配置的VPN绑定。
图5从云管理器的角度进行对数据中心只直接和目标VPN的一个承载网相连的场景中的虚拟私云接入认证方法进行描述。请参阅图5,本发明实施例中的虚拟私云接入认证方法另一实施例包括:
501、云管理器接收VPC创建请求;
云管理器接收VPC创建请求,该VPC创建请求中包括有:目标VPN的VPN标识,所述目标VPN为VPC所需要接入的VPN,该目标VPN对应有唯一的承载网。
具体的,若需要创建VPC,则用户可以通过云业务平台向云管理器发送VPC创建请求,该VPC创建请求中携带有进行VPC接入认证时需要用到的目标VPN的VPN标识。
可选的,所述VPN标识可以为可以为:
(1)VPN用户名称,或
(2)VPN用户名称和密码,或
(3)VPN名称,或
(4)VPN名称和密码。
由于VPN标识涉及用户信息,为了保证用户信息的安全,在封装VPC接入请求时,VPN路由设备可以使用challenge机制对VPN标识进行加密。
502、云管理器向VPN路由设备发送VPC加入VPN的请求;
云管理器向与所述承载网连接的VPN路由设备发送VPC加入VPN的请求,该VPC接入VPN请求中携带有目标VPN的VPN标识,VPN路由设备可以使用该VPN标识向该承载网的标识对应的网络边缘设备发起VPC接入认证。
可选的,若所述VPN路由设备为DC网关、DC内核心路由器或DC内核心交换机,则目标VPN与该DC网关、或目标VPN与DC内核心路由器,或或目标VPN与DC内核心交换机的关系是一一对应的(即目标VPN与唯一的VPN路由设备相连接),云管理器可以唯一的查找到与目标VPN对应的承载网连接的VPN路由设备。若所述VPN路由设备为DC内的服务器,而该服务器又可以有多台,则云管理器可以根据预配置的策略选择一台或多台服务器作为VPN路由设备进行发送,预配置的策略可以为负荷均分策略,也可以为负荷限定策略(即在服务器的负荷范围内依次使用各台服务器)。
503、云管理器接收VPN路由设备返回的认证结果。
云管理器接收VPN路由设备返回的认证结果,若该认证结果为认证成功,则云管理器在VPN路由设备内创建VPC,并将该VPC和VPN路由设备上配置的VPN绑定。
图6从网络边缘设备的角度进行对本发明实施例中的虚拟私云接入认证方法进行描述,请参阅图6,本发明实施例中的虚拟私云接入认证方法另一实施例包括:
601、网络边缘设备接收VPN路由设备发送的VPC接入请求;
网络边缘设备接收VPN路由设备发送的VPC接入请求,该VPC接入请求中携带有目标VPN的VPN标识。
可选的,所述VPN标识可以为:
(1)VPN用户名称,或
(2)VPN用户名称和密码,或
(3)VPN名称,或
(4)VPN名称和密码。
由于VPN标识涉及用户信息,为了保证用户信息的安全,在封装VPC接入请求时,VPN路由设备可以使用challenge机制对VPN标识进行加密。
网络边缘设备可以为ASBR或PE。
602、网络边缘设备向承载网对应的认证***发送认证请求;
网络边缘设备向目标VPN的承载网对应的认证***发送认证请求,该认证请求中携带有所述VPN标识,使得该认证***对该VPN标识进行认证;所述目标VPN为VPC所需要接入的VPN。
可选的,若本发明实施例中的VPC接入认证过程需要跨越多个网络进行传输,则在接收VPN路由设备发送的VPC接入请求之后,在向目标VPN的承载网对应的认证***发送认证请求之前,网络边缘设备可以通过承载网的标识(如:目标AS号)判断本地是否为所述VPC接入请求的目标网络边缘设备,若不是,则可以根据承载网路由表确定下一跳的网络边缘设备,并继续向下一跳的第二网络边缘设备转发所述VPC接入认证请求,直至将所述VPC接入认证请求转发到目标网络边缘设备为止。具体的,承载网的标识可以通过VPC接入请求携带,而承载网路由表则可以由网络边缘设备通过自学习得到。
603、网络边缘设备接收认证***发送的VPN配置参数;
在向目标VPN的承载网对应的认证***发送认证请求之后,网络边缘设备接收认证***发送的VPN配置参数。
可选的,在接收认证***发送的VPN配置参数之后,网络边缘设备提取该VPN配置参数中的VPN接入参数,如果该VPN接入参数是RT参数,则将该RT参数添加到出口路由过滤列表(ORF,Outbound Route Filtering)中,表示可以向VPN路由设备转发所述承载网内的VPN路由表。
可选的,在接收认证***发送的VPN配置参数之后,网络边缘设备还可以提取VPN配置参数中的接入带宽参数,并根据该接入带宽参数进行接入带宽限制的配置。
604、网络边缘设备向VPN路由设备返回认证响应。
网络边缘设备向VPN路由设备返回认证响应,该认证响应中携带有所述VPN配置参数,使得VPN路由设备可以根据该VPN配置参数配置VPN实例。
图7上面描述了本发明实施例中VPC接入认证的过程,下面要对本发明实施例中VPC的删除过程进行描述,请参阅图7,本发明实施例中的虚拟私云删除方法的一实施例包括:
701、VPN路由设备接收云管理器发送的VPC删除请求;
VPN路由设备接收云管理器发送的VPC删除请求,该VPC删除请求中携带有目标VPN的承载网的网络边缘设备地址和VPC标识。
所述VPN路由设备为可以配置VPN实例,并可在VPN内执行路由功能的设备;该VPN路由设备可以为DC网关、DC内核心路由器、DC内核心交换机、或DC内的服务器;具体实现VPN路由设备功能的物理设备可以根据情况而定,此处不作限定。
在本发明实施例中,所述VPC标识为待删除的VPC的标识,所述目标VPN为待删除的VPC所接入的VPN。
702、VPN路由设备删除VPC标识对应的VPN实例;
VPN路由设备删除VPC标识对应的VPN实例。可选的,VPC标识可以为云管理器分配的一个VPC号,也可以为VPN的实例名称。VPN路由设备根据VPC标识就可以在本地唯一的查找到VPC标识对应的VPN实例。
703、VPN路由设备向相应的网络边缘设备发送VPC删除通知。
VPN路由设备向所述网络边缘设备地址对应的网络边缘设备发送VPC删除通知,所述VPC删除通知中携带有所述VPC标识,使得网络边缘设备通知认证***删除所述VPC标识对应的相关认证信息;该认证***对应所述承载网。
具体的,在接入认证的过程中,网络边缘设备收到认证请求,发起RADIUS认证,一个VPC标识对应一个网络接入***(NAS,Network Access System)的端口(port)号,网络边缘设备会建立VPC标识和RADIUS认证的对应关系,即VPC标识和NAS port号的对应关系;在删除VPC的过程中,网络边缘设备可以通知相应的认证***根据VPC标识删除VPC对应的接入认证记录。
图8上面是从VPN路由设备的角度对本发明实施例中的虚拟私云删除方法进行了描述,下面从云管理器的角度对本发明实施例中的虚拟私云删除方法进行描述,请参阅图8,本发明实施例中的虚拟私云删除方法的另一实施例包括:
801、云管理器接收VPC删除请求;
云管理器接收第一VPC删除请求,该第一VPC删除请求中携带有VPC标识;具体的,该第一VPC删除请求可以是用户通过云业务平台向云管理器发送的,所述VPC标识为待删除的VPC的标识。
802、云管理器根据VPC标识查找目标VPN的承载网;
云管理器根据所述VPC标识查找目标VPN的承载网,并确定与承载网连接的VPN路由设备和网络边缘设备地址,该目标VPN为待删除的VPC所接入的VPN。
由于在认证过程中,VPC和VPN的相关配置做了绑定,因此,云管理器可以根据VPC标识查找到目标VPN的承载网,并查找到与该承载网连接的VPN路由设备和网络边缘设备地址。
803、云管理器向VPN路由设备发送第二VPC删除请求。
云管理器向VPN路由设备发送第二VPC删除请求,该第二VPC删除请求中携带有所述网络边缘设备地址以及VPC标识,使得VPN路由设备向该网络边缘设备地址对应的网络边缘设备发送VPC删除请求,从而在相应承载网的认证***上删除该VPC的相关配置信息。
下面对用于执行所述虚拟私云接入认证方法的本发明VPN路由设备的实施例进行说明,其结构请参考图9,本发明实施例中VPN路由设备的一个实施例包括第一接收单元901和发送单元902,其中:
所述第一接收单元901,用于接收云管理器发送的虚拟私云VPC接入虚拟私有网VPN请求,所述VPC接入VPN请求中携带有目标VPN的承载网的标识以及VPN标识;
所述发送单元902,用于向所述承载网的标识对应的网络边缘设备发送VPC接入请求,所述VPC接入请求中携带有所述VPN标识,使得所述网络边缘设备根据所述VPN标识进行VPC的接入认证。
可选地,本发明实施例中的VPN路由设备还可以进一步包括第二接收单元903、实例配置单元904和结果响应单元905,其中:
所述第二接收单元903,用于接收所述网络边缘设备返回的认证响应;
所述实例配置单元904,用于若所述认证响应指示为成功,则提取所述认证响应中携带的VPN配置参数,并根据所述VPN配置参数配置VPN实例;
所述结果响应单元905,用于根据所述认证响应向云管理器发送认证结果。
本发明实施例VPN路由设备中各个单元具体的操作过程如下:
所述第一接收单元901接收云管理器发送的VPC接入VPN请求,若在数据中心和多个承载网相连,或数据中心和目标VPN的承载网不是直接相连的场景中,该VPC接入VPN请求中携带目标VPN的承载网的标识以及VPN标识,所述目标VPN为VPC所需要接入的VPN。
具体的,若需要创建VPC,则用户在通过云业务平台向云管理器发送VPC创建请求时,会为云管理器提供该VPC所需要接入的VPN(即目标VPN)的承载网的标识,以及VPN标识;而云管理器会根据该承载网的标识查找到与该承载网连接的VPN路由设备,并向VPN路由设备发送VPC接入VPN请求,使得VPN路由设备向相应的网络边缘设备发起VPC的接入认证。
在接收到VPC接入VPN请求之后,发送单元902向所述承载网的标识对应的网络边缘设备发送VPC接入请求,该VPC接入请求中携带有所述VPN标识,使得该网络边缘设备根据VPN标识进行VPC的接入认证,所述VPC接入请求是使用IP路由协议封装的数据报文。
可选的,所述承载网的标识可以为网络边缘设备地址、承载网号、承载网名称和目标AS号中的一个或多个,其中一个目标AS号表示一个自治域。
若该承载网的标识为网络边缘设备地址,则确认该网络边缘设备地址对应的网络边缘设备为需要发送VPC接入请求的网络边缘设备,并直接向网络边缘设备地址对应的网络边缘设备发送VPC接入请求;该网络边缘设备地址可以是该网络边缘设备的IP地址;
若该承载网的标识为承载网名称或承载网号,则可以通过VPN路由设备存储的承载网路由表查找相应的网络边缘设备,由所述发送单元902向在所述承载网路由表上查找到的网络边缘设备送VPC接入请求;
若该承载网的标识为目标AS号,则也可以通过VPN路由设备存储的承载网路由表查找相应的网络边缘设备;具体的,VPN路由设备可以根据所述目标AS号在所述承载网路由表上查找相应的网络边缘设备,并由所述发送单元902查找下一跳的第一网络边缘设备,向该第一网络边缘设备发送VPC接入请求,该第一网络边缘设备为到达目标AS号对应网络边缘设备的路径上,与所述VPN路由设备连接的网络边缘设备,该VPC接入认证请求还携带有所述目标AS号;若所述第一网络边缘设备不是该目标AS号对应的网络边缘设备,则第一网络边缘设备根据承载网路由表确定下一跳的第二网络边缘设备,并继续向第二网络边缘设备转发该VPC接入认证请求,直至将该VPC接入认证请求转发到目标AS号对应的网络边缘设备为止;该承载网路由表可以为第一网络边缘设备预配置好的,也可以由第一网络边缘设备自学习承载网路由表。
承载网路由表为各个网络间可到达的网络设备的路由表,可以为手工配置的路由表,如:<目的网络标识,网络边缘设备>,该目的网络标识可以为唯一确定一个承载网的标识,比如承载网名称、承载网号、AS号等中的一个或多个;承载网路由表也可以为自学习的AS路由表;AS路由表是以每个ASBR上构造以AS为目的的路由。AS路由表项构造方法可以为:扩展ASBR的功能,提取BGP路由发布的AS_PATH,取出可达网络所属的AS号,生成到目标AS的AS路由表项:<目的AS,下一跳地址,出接口>。在承载网路由表上,不同的网络边缘设备分属于不同的承载网,且不同的网络边缘设备分属于不同的自治***中的自治域。因此,根据承载网号,承载网名称和目标AS号中的一个或多个可以唯一的确定一个网络边缘设备。
所述VPN标识是由用户提供的,为VPC接入认证的用户信息。所述VPN标识可以为:
(1)VPN用户名称,或
(2)VPN用户名称和密码,或
(3)VPN名称,或
(4)VPN名称和密码。
由于VPN标识涉及用户信息,为了保证用户信息的安全,在封装VPC接入请求时,可以使用challenge机制对VPN标识进行加密。
在向网络边缘设备发送VPC接入请求之后,所述第二接收单元903接收网络边缘设备返回的认证响应,该认证响应中携带有VPN配置参数。
可选的,VPN配置参数包括有配置VPN实例的参数,该配置VPN实例的参数可以是路由目标参数。VPN配置参数还可以包括附属参数,该附属参数可以是访问策略、接入带宽参数和业务优先级参数中的一个或多个。
在接收到网络边缘设备返回的认证响应之后,若所述认证响应指示为成功,所述实例配置单元904提取所述认证响应中携带的VPN配置参数,并根据该VPN配置参数配置VPN实例,
具体的,三层VPN(L3VPN)的配置可以是:VPN路由设备提取VPN配置参数中的路由目标(RT,Route Target)参数,配置虚拟路由转发(VRF,Virtual Routing Forwarding):vpn-instance vpna;vpn-target 111∶1 both。二层VPN(L2VPN)的配置可以是:提取RT参数,site id,site range,offset,配置虚拟交换实例(VSI,Virtual Switch Instance)。
可选的,若VPN配置参数中包含有服务质量(QoS,Quality of Service)参数,如果该QoS参数是接入带宽参数,则VPN路由设备可以使用该接入带宽参数配置VPC接入数据中心网关的带宽限制;如果该QoS参数是业务优先级参数,则VPN路由设备可以使用该业务优先级参数配置优先级队列的权重和入队列策略中的一个或多个。
在接收到网络边缘设备返回的认证响应之后,还可以由所述结果响应单元905根据所述认证响应向云管理器发送认证结果。当VPC的接入认证成功时,可以使得云管理器创建VPC,并将该VPC和VPN路由设备上配置的VPN绑定。
下面对用于执行所述虚拟私云接入认证方法的本发明云管理器的实施例进行说明,其结构请参考图10,本发明实施例中云管理器的一个实施例包括请求接收单元1001、查找单元1002和请求发送单元1003,其中:
所述请求接收单元1001,用于接收VPC创建请求,所述VPC创建请求中包括有:目标VPN的承载网的标识以及VPN标识;
所述查找单元1002,用于根据所述承载网的标识查找与所述承载网连接的VPN路由设备;
所述请求发送单元1003,用于向所述VPN路由设备发送VPC加入VPN的请求,所述VPC接入VPN请求中携带有所述承载网的标识以及VPN标识,使得所述VPN路由设备使用所述VPN标识向所述承载网的标识对应的网络边缘设备发起VPC接入认证。
可选地,本发明实施例中的云管理器还可以进一步包括响应接收单元1004和创建单元1005,其中:
所述响应接收单元1004,用于接收VPN路由设备返回的认证结果;
所述创建单元1005,用于若所述认证结果为成功,则所述云管理器在VPN路由设备内创建VPC,并将所述VPC和VPN路由设备上配置的VPN绑定。
本发明实施例云管理器中各个单元具体的操作过程如下:
所述请求接收单元1001接收VPC创建请求,该VPC创建请求中包括有:目标VPN的承载网的标识以及VPN标识,所述目标VPN为VPC所需要接入的VPN。
若需要创建VPC,则用户可以通过云业务平台向云管理器发送VPC创建请求,该VPC创建请求中携带有目标VPN的承载网的标识以及进行VPC接入认证时需要用到的VPN标识。
可选的,所述VPN标识可以为可以为:
(1)VPN用户名称,或
(2)VPN用户名称和密码,或
(3)VPN名称,或
(4)VPN名称和密码。
由于VPN标识涉及用户信息,为了保证用户信息的安全,在封装VPC接入请求时,VPN路由设备可以使用challenge机制对VPN标识进行加密。
可选的,所述承载网的标识可以为网络边缘设备地址,承载网号,承载网名称和目标AS号中的一个或多个。
在接收到VPC创建请求之后,所述查找单元1002提取该VPC创建请求中携带的承载网的标识,根据该承载网的标识查找到与该承载网连接的VPN路由设备。具体的,由于在与某一个网络边缘设备连接的路径上,唯一的经过一个VPN路由设备,因此,所述查找单元1002可以根据网络边缘设备地址、承载网号、承载网名称和目标AS号中的一个或多个唯一的确定一个VPN路由设备。
在确定了VPN路由设备之后,所述请求发送单元1003向所述查找到的VPN路由设备发送VPC加入VPN的请求,该VPC接入VPN请求中携带有目标VPN的承载网的标识以及VPN标识,使得VPN路由设备使用该VPN标识向该承载网的标识对应的网络边缘设备发起VPC接入认证。
可选的,若该承载网的标识为承载网号,承载网名称或目标AS号中的一个或多个,则云管理器可以通过该承载网号,承载网名称或目标AS号中的一个或多个在该云管理器本地存储的承载网路由表上查找到需要进行接入认证的网络边缘设备,在向VPN路由设备发送VPC加入VPN的请求时,可以直接让VPC加入VPN的请求携带该网络边缘设备的地址。该网络边缘设备的地址可以是该网络边缘设备的IP地址。
在向VPN路由设备发送VPC加入VPN的请求之后,所述响应接收单元1004接收VPN路由设备返回的认证结果,若该认证结果为成功,则所述创建单元1005在VPN路由设备内创建VPC,并将该VPC和VPN路由设备上配置的VPN绑定。
图11中对数据中心只直接和目标VPN的一个承载网相连的场景的本发明VPN路由设备的实施例进明,其结构请参考图11,本发明实施例中VPN路由设备的另一个实施例包括VPN请求接收单元1101和接入请求发送单元1102,其中:
所述VPN请求接收单元1101,用于接收云管理器发送的VPC接入VPN请求所述VPC接入VPN请求中携带有目标VPN的VPN标识,所述目标VPN对应有唯一的网络边缘设备;
所述接入请求发送单元1102,用于向所述网络边缘设备发送VPC接入请求,所述VPC接入请求中携带有所述VPN标识,使得所述网络边缘设备根据所述VPN标识进行VPC的接入认证。
可选地,本发明实施例中的VPN路由设备还可以进一步包括接收单元1103、实例配置单元1104和结果响应单元1105,其中:
所述接收单元1103,用于接收所述网络边缘设备返回的认证响应;
所述实例配置单元1104,用于若所述认证响应指示为成功,则提取所述认证响应中携带的VPN配置参数,并根据所述VPN配置参数配置VPN实例;
所述结果响应单元1105,用于根据所述认证响应向云管理器发送认证结果。
本发明实施例VPN路由设备中各个单元具体的操作过程如下:
所述VPN请求接收单元1101接收云管理器发送的VPC接入VPN请求,在数据中心只直接和目标VPN的一个承载网相连的场景中,该VPC接入VPN请求中携带有目标VPN的VPN标识,所述目标VPN为VPC所需要接入的VPN,该目标VPN对应有唯一的网络边缘设备。
在接收到VPC接入VPN请求之后,所述接入请求发送单元1102向所述目标VPN唯一对应的网络边缘设备发送VPC接入请求,该VPC接入请求中携带有所述VPN标识,使得该网络边缘设备根据VPN标识进行VPC的接入认证,所述VPC接入请求是使用IP路由协议封装的数据报文。
在发送了VPC接入请求之后,所述接收单元1103接收网络边缘设备返回的认证响应,该认证响应中携带有VPN配置参数;若所述认证响应指示为认证成功,则由所述实例配置单元1104提取所述认证响应中携带的VPN配置参数,并根据该VPN配置参数配置VPN实例。并且,还可以由所述结果响应单元1105根据所述认证响应向云管理器发送认证结果。当VPC的接入认证成功时,可以使得云管理器创建VPC,并将该VPC和VPN路由设备上配置的VPN绑定。
图12对数据中心只直接和目标VPN的一个承载网相连的场景的本发明云管理器的实施例进行说明,其结构请参考图12,本发明实施例中云管理器的另一个实施例包括VPC请求接收单元1201和VPN请求发送单元1202,其中:
所述VPC请求接收单元1201,用于接收VPC创建请求,所述VPC创建请求中包括有:目标VPN的VPN标识,所述目标VPN对应有唯一的承载网;
所述VPN请求发送单元1202,用于向与所述承载网连接的VPN路由设备发送VPC加入VPN的请求,VPC接入VPN请求中携带有所述VPN标识,使得所述VPN路由设备使用所述VPN标识向网络边缘设备发起VPC接入认证。
可选地,本发明实施例中的云管理器还可以进一步包括响应接收单元1203和创建单元1204,其中:
所述响应接收单元1203,用于接收VPN路由设备返回的认证结果;
所述创建单元1204,用于若所述认证结果为成功,则所述云管理器在VPN路由设备内创建VPC,并将所述VPC和VPN路由设备上配置的VPN绑定。
本发明实施例云管理器中各个单元具体的操作过程如下:
所述VPC请求接收单元1201接收VPC创建请求,该VPC创建请求中包括有:目标VPN的VPN标识,所述目标VPN为VPC所需要接入的VPN,该目标VPN对应有唯一的承载网。
具体的,若需要创建VPC,则用户可以通过云业务平台向云管理器发送VPC创建请求,该VPC创建请求中携带有进行VPC接入认证时需要用到的目标VPN的VPN标识。
可选的,所述VPN标识可以为:
(1)VPN用户名称,或
(2)VPN用户名称和密码,或
(3)VPN名称,或
(4)VPN名称和密码。
由于VPN标识涉及用户信息,为了保证用户信息的安全,在封装VPC接入请求时,VPN路由设备可以使用challenge机制对VPN标识进行加密。
在接收到VPC创建请求之后,所述VPN请求发送单元1202向与所述承载网连接的VPN路由设备发送VPC加入VPN的请求,该VPC接入VPN请求中携带有目标VPN的VPN标识,使得VPN路由设备使用该VPN标识向该承载网的标识对应的网络边缘设备发起VPC接入认证。
在发送VPC加入VPN的请求之后,所述响应接收单元1203接收VPN路由设备返回的认证结果,若该认证结果为成功,则所述创建单元1204在VPN路由设备内创建VPC,并将该VPC和VPN路由设备上配置的VPN绑定。
图13对用于执行所述虚拟私云接入认证方法的本发明网络边缘设备的实施例进行说明,其结构请参考图13,本发明实施例中网络边缘设备的一个实施例包括接入请求接收单元1301、认证请求发送单元1302和认证响应单元1303,其中:
所述接入请求接收单元1301,用于接收VPN路由设备发送的VPC接入请求,所述VPC接入请求中携带有目标VPN的VPN标识;
所述认证请求发送单元1302,用于向目标VPN的承载网对应的认证***发送认证请求,所述认证请求中携带有所述VPN标识,使得所述认证***对所述VPN标识进行认证;
所述认证响应单元1303,用于若认证成功,则所述网络边缘设备接收所述认证***发送的VPN配置参数,并向所述VPN路由设备返回认响应,所述认证响应中携带有所述VPN配置参数。
可选地,本发明实施例中的网络边缘设备还可以进一步包括第一配置单元1304和第二配置单元1305,其中:
所述第一配置单元1304,用于提取所述VPN配置参数中的VPN接入参数,将所述VPN接入参数添加到出口路由过滤列表ORF中,表示可以向所述VPN路由设备转发所述承载网内的VPN路由表;
所述第二配置单元1305,用于提取所述VPN配置参数中的接入带宽参数,根据所述入带宽参数进行接入带宽限制的配置。
本发明实施例网络边缘设备中各个单元具体的操作过程如下:
所述入请求接收单元1301接收VPN路由设备发送的VPC接入请求,该VPC接入请求中携带有目标VPN的VPN标识。
可选的,所述VPN标识可以为:
(1)VPN用户名称,或
(2)VPN用户名称和密码,或
(3)VPN名称,或
(4)VPN名称和密码。
由于VPN标识涉及用户信息,为了保证用户信息的安全,在封装VPC接入请求时,VPN路由设备可以使用challenge机制对VPN标识进行加密。
所述认证请求发送单元1302向目标VPN的承载网对应的认证***发送认证请求,该认证请求中携带有所述VPN标识,使得该认证***对该VPN标识进认证;所述目标VPN为VPC所需要接入的VPN。
可选的,若本发明实施例中的VPC接入认证过程需要跨越多个网络进行传输,则在接收VPN路由设备发送的VPC接入请求之后,在向目标VPN的承载网对应的认证***发送认证请求之前,网络边缘设备需要通过承载网的标识(如:目标AS号)判断本地是否为所述VPC接入请求的目标网络边缘设备,若不是,则根据承载网路由表确定下一跳的网络边缘设备,并继续向下一跳的第二网络边缘设备转发所述VPC接入认证请求,直至将所述VPC接入认证请求转发到目标网络边缘设备为止。具体的,承载网的标识可以通过VPC接入请求携带,而承载网路由表则由网络边缘设备通过自学习得到。
在向目标VPN的承载网对应的认证***发送认证请求之后,若认证成功,则所述认证响应单元1303接收认证***发送的VPN配置参数。
可选的,在接收认证***发送的VPN配置参数之后,所述第一配置单元1304可以提取该VPN配置参数中的VPN接入参数,例如RT参数,并将该RT参数添加到出口路由过滤列表(ORF,Outbound Route Filtering)中,表示可以向VPN路由设备转发所述承载网内的VPN路由表。
可选的,在接收认证***发送的VPN配置参数之后,所述第二配置单元1305还可以提取VPN配置参数中的接入带宽参数,并根据该接入带宽参数进行接入带宽限制的配置。
图14对用于执行所述虚拟私云删除方法的本发明VPN路由设备的实施例进行说明,其结构请参考图14,本发明实施例中VPN路由设备的另一个实施例包括删除请求接收单元1401、实例删除单元1402和通知发送单元1403,其中:
所述删除请求接收单元1401,用于接收云管理器发送的VPC删除请求,所述VPC删除请求中携带有目标VPN的承载网的网络边缘设备地址和VPC标识;
所述实例删除单元1402,用于删除所述VPC标识对应的VPN实例;
所述通知发送单元1403,用于向所述网络边缘设备地址对应的网络边缘设备发送VPC删除通知,所述VPC删除通知中携带有所述VPC标识,使得所述网络边缘设备通知认证***删除所述VPC标识对应的相关认证信息。
本发明实施例VPN路由设备中各个单元具体的操作过程如下:
所述删除请求接收单元1401接收云管理器发送的VPC删除请求,该VPC删除请求中携带有目标VPN的承载网的网络边缘设备地址和VPC标识。
在接收到了VPC删除请求之后,所述实例删除单元1402删除VPC标识对应的VPN实例。可选的,VPC标识可以为云管理器分配的一个VPC号,也可以为VPN的实例名称;VPN路由设备根据VPC标识就可以在本地唯一的查找到VPC标识对应的VPN实例。
在接收到了VPC删除请求之后,所述通知发送单元1403向所述网络边缘设备地址对应的网络边缘设备发送VPC删除通知,所述VPC删除通知中携带有所述VPC标识,使得网络边缘设备通知认证***删除VPC标识对应的相关认证信息;该认证***为所述承载网所对应。
具体的,在接入认证的过程中,网络边缘设备收到认证请求,发起RADIUS认证,一个VPC认证对应一个网络接入***(NAS,Network Access System)的端口(port)号,网络边缘设备会建立VPC标识和RADIUS认证的对应关系,即VPC标识和NAS port号的对应关系;在删除VPC的过程中,网络边缘设备可以通知相应的认证***根据VPC标识删除VPC对应的接入认证记录。
下面对用于执行所述虚拟私云删除方法的本发明云管理器的实施例进行说明,其结构请参考图15,本发明实施例中云管理器的另一个实施例包括删除接收单元1501、目标查找单元1502和删除请求发送单元1503,其中:
所述删除接收单元1501,用于接收第一VPC删除请求,所述第一VPC删除请求中携带有VPC标识;
所述目标查找单元1502,用于根据所述VPC标识查找目标VPN的承载网,并确定与所述承载网连接的VPN路由设备和网络边缘设备地址;
所述删除请求发送单元1503,用于向所述VPN路由设备发送第二VPC删除请求,所述第二VPC删除请求中携带有所述网络边缘设备地址以及所述VPC标识。
本发明实施例云管理器中各个单元具体的操作过程如下:
所述删除接收单元1501接收第一VPC删除请求,该第一VPC删除请求中携带有VPC标识;具体的,该第一VPC删除请求可以是用户通过云业务平台向云管理器发送的,VPC标识为待删除的VPC的标识。所述目标查找单元1502根据所述VPC标识查找目标VPN的承载网,并确定与承载网连接的VPN路由设备和网络边缘设备地址,该目标VPN为待删除的VPC所接入的VPN。
由于在认证过程中,VPC和VPN的相关配置做了绑定,因此,云管理器可以根据VPC标识查找到目标VPN的承载网,并查找到与该承载网连接的VPN路由设备和网络边缘设备地址。
在确定了与承载网连接的VPN路由设备和网络边缘设备地址之后,所述删除请求发送单元1503向VPN路由设备发送第二VPC删除请求,该第二VPC删除请求中携带有所述网络边缘设备地址以及VPC标识,使得VPN路由设备向该网络边缘设备地址对应的网络边缘设备发送VPC删除请求,从而在相应承载网的认证***上删除该VPC的相关配置信息。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。所述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (31)
1.一种虚拟私云VPC接入认证方法,其特征在于,包括:
虚拟私有网VPN路由设备接收云管理器发送的虚拟私云VPC接入虚拟私有网VPN请求,所述VPC接入VPN请求中携带有目标VPN的承载网的标识以及VPN标识;
所述VPN路由设备向所述承载网的标识对应的网络边缘设备发送VPC接入请求,所述VPC接入请求中携带有所述VPN标识,使得所述网络边缘设备根据所述VPN标识进行VPC的接入认证。
2.根据权利要求1所述的方法,其特征在于,所述向承载网的标识对应的网络边缘设备发送VPC接入请求之后,包括:
接收所述网络边缘设备返回的认证响应;
若所述认证响应指示为成功,则提取所述认证响应中携带的VPN配置参数,并根据所述VPN配置参数配置VPN实例;
根据所述认证响应向所述云管理器发送认证结果。
3.根据权利要求1或2所述的方法,其特征在于,所述VPN标识包括:
VPN用户名称;
或,VPN用户名称和密码;
或,VPN名称;
或,VPN名称和密码。
4.根据权利要求1-3中任一所述的方法,其特征在于,
所述承载网的标识为:网络边缘设备地址,承载网号,承载网名称和目标自治***AS号中的一个或多个;
若所述承载网的标识为网络边缘设备地址,则所述向承载网的标识对应的网络边缘设备发送VPC接入请求,包括:向网络边缘设备地址对应的网络边缘设备发送VPC接入请求;
若所述承载网的标识为承载网号,承载网名称或目标AS号,则所述向承载网的标识对应的网络边缘设备发送VPC接入请求,包括:根据承载网路由表向所述承载网号、所述承载网名称或所述目标AS号对应的网络边缘设备发送VPC接入请求。
5.根据权利要求4所述的方法,其特征在于,所述根据承载网路由表向所述目标AS号对应的网络边缘设备发送VPC接入请求,包括:
根据承载网路由列表的路径确定下一跳的第一网络边缘设备;
向所述第一网络边缘设备发送VPC接入认证请求,所述VPC接入认证请求还携带有所述目标AS号;
若所述第一网络边缘设备不是所述目标AS号对应的网络边缘设备,则所述第一网络边缘设备根据所述承载网路由表确定下一跳的第二网络边缘设备,并继续向所述第二网络边缘设备转发所述VPC接入认证请求,直至将所述VPC接入认证请求转发到所述目标AS号对应的网络边缘设备为止。
6.一种虚拟私云VPC接入认证方法,其特征在于,包括:
云管理器接收VPC创建请求,所述VPC创建请求中包括:目标虚拟私有网VPN的承载网的标识以及VPN标识;
所述云管理器根据所述承载网的标识查找与所述承载网连接的VPN路由设备;
所述云管理器向所述VPN路由设备发送VPC加入VPN的请求,所述VPC接入VPN请求中携带有所述承载网的标识以及VPN标识,使得所述VPN路由设备使用所述VPN标识向所述承载网的标识对应的网络边缘设备发起VPC接入认征。
7.根据权利要求6所述的方法,其特征在于,所述向VPN路由设备发送VPC加入VPN的请求之后,包括:
接收VPN路由设备返回的认证结果;
若所述认证结果为成功,则所述云管理器在VPN路由设备内创建VPC,并将所述VPC和VPN路由设备上配置的VPN绑定。
8.根据权利要求6或7所述的方法,其特征在于,所述VPN标识包括:
VPN用户名称;
或,VPN用户名称和密码;
或,VPN名称;
或,VPN名称和密码。
9.一种虚拟私云VPC接入认证方法,其特征在于,包括:
虚拟私有网VPN路由设备接收云管理器发送的VPC接入VPN请求,所述VPC接入VPN请求中携带有目标VPN的VPN标识,所述目标VPN对应有唯一的网络边缘设备;
所述VPN路由设备向所述网络边缘设备发送VPC接入请求,所述VPC接入请求中携带有所述VPN标识,使得所述网络边缘设备根据所述VPN标识进行VPC的接入认证。
10.根据权利要求9所述的方法,其特征在于,所述向网络边缘设备发送VPC接入请求之后,包括:
接收所述网络边缘设备返回的认证响应;
若所述认证响应指示为成功,则提取所述认证响应中携带的VPN配置参数,并根据所述VPN配置参数配置VPN实例;
根据所述认证响应向所述云管理器发送认证结果。
11.根据权利要求9或10所述的方法,其特征在于,所述VPN标识包括:
VPN用户名称;
或,VPN用户名称和密码;
或,VPN名称;
或,VPN名称和密码。
12.一种虚拟私云接入认证方法,其特征在于,包括:
云管理器接收VPC创建请求,所述VPC创建请求中包括:目标VPN的VPN标识,所述目标VPN对应有唯一的承载网;
所述云管理器向与所述承载网连接的VPN路由设备发送VPC加入VPN的请求,所述VPC接入VPN请求中携带有所述VPN标识,使得所述VPN路由设备使用所述VPN标识向网络边缘设备发起VPC接入认证。
13.根据权利要求12所述的方法,其特征在于,所述向VPN路由设备发送VPC加入VPN的请求之后,包括:
接收VPN路由设备返回的认证结果;
若所述认证结果为成功,则云管理器在VPN路由设备内创建VPC,并将所述VPC和VPN路由设备上配置的VPN绑定。
14.根据权利要求12或13所述的方法,其特征在于,所述VPN标识包括:
VPN用户名称;
或,VPN用户名称和密码;
或,VPN名称;
或,VPN名称和密码。
15.一种虚拟私云VPC接入认证方法,其特征在于,包括:
网络边缘设备接收虚拟私有网VPN路由设备发送的VPC接入请求,所述VPC接入请求中携带有目标VPN的VPN标识;
所述网络边缘设备向目标VPN的承载网对应的认证***发送认证请求,所述认证请求中携带有所述VPN标识,使得所述认证***对所述VPN标识进行认证;
若认证成功,则所述网络边缘设备接收所述认证***发送的VPN配置参数,并向所述VPN路由设备返回认证响应,所述认证响应中携带有所述VPN配置参数。
16.根据权利要求15所述的方法,其特征在于,所述接收认证***发送的VPN配置参数之后,包括:
提取所述VPN配置参数中的VPN接入参数;
将所述VPN接入参数添加到出口路由过滤列表ORF中,表示可以向所述VPN路由设备转发所述承载网内的VPN路由表。
17.根据权利要求15或16所述的方法,其特征在于,所述接收认证***发送的VPN配置参数之后,包括:
提取所述VPN配置参数中的接入带宽参数;
根据所述接入带宽参数进行接入带宽限制的配置。
18.一种虚拟私云VPC删除方法,其特征在于,包括:
虚拟私有网VPN路由设备接收云管理器发送的VPC删除请求,所述VPC删除请求中携带有目标VPN的承载网的网络边缘设备地址和VPC标识;
所述VPN路由设备删除所述VPC标识对应的VPN实例;
所述VPN路由设备向所述网络边缘设备地址对应的网络边缘设备发送VPC删除通知,所述VPC删除通知中携带有所述VPC标识,使得所述网络边缘设备通知认证***删除所述VPC标识对应的相关认证信息。
19.一种虚拟私云VPC删除方法,其特征在于,包括:
云管理器接收第一VPC删除请求,所述第一VPC删除请求中携带有VPC标识;
所述云管理器根据所述VPC标识查找目标虚拟私有网VPN的承载网,并确定与所述承载网连接的VPN路由设备和网络边缘设备地址;
所述云管理器向所述VPN路由设备发送第二VPC删除请求,所述第二VPC删除请求中携带有所述网络边缘设备地址以及所述VPC标识。
20.一种虚拟私有网VPN路由设备,其特征在于,包括:
第一接收单元,用于接收云管理器发送的虚拟私云VPC接入虚拟私有网VPN请求,所述VPC接入VPN请求中携带有目标VPN的承载网的标识以及VPN标识;
发送单元,用于向所述承载网的标识对应的网络边缘设备发送VPC接入请求,所述VPC接入请求中携带有所述VPN标识,使得所述网络边缘设备根据所述VPN标识进行VPC的接入认证。
21.根据权利要求20所述的VPN路由设备,其特征在于,所述VPN路由设备还包括:
第二接收单元,用于接收所述网络边缘设备返回的认证响应;
实例配置单元,用于若所述认证响应指示为成功,则提取所述认证响应中携带的VPN配置参数,并根据所述VPN配置参数配置VPN实例;
结果响应单元,用于根据所述认证响应向所述云管理器发送认证结果。
22.一种云管理器,其特征在于,包括:
请求接收单元,用于接收虚拟私有云VPC创建请求,所述VPC创建请求中包括有:目标虚拟私有网VPN的承载网的标识以及VPN标识;
查找单元,用于根据所述承载网的标识查找与所述承载网连接的VPN路由设备;
请求发送单元,用于向所述VPN路由设备发送VPC加入VPN的请求,所述VPC接入VPN请求中携带有所述承载网的标识以及VPN标识,使得所述VPN路由设备使用所述VPN标识向所述承载网的标识对应的网络边缘设备发起VPC接入认证。
23.根据权利要求22所述的云管理器,其特征在于,所述云管理器还包括:
响应接收单元,用于接收VPN路由设备返回的认证结果;
创建单元,用于若所述认证结果为成功,则所述云管理器在VPN路由设备内创建VPC,并将所述VPC和VPN路由设备上配置的VPN绑定。
24.一种虚拟私有网VPN路由设备,其特征在于,包括:
VPN请求接收单元,用于接收云管理器发送的虚拟私有云VPC接入VPN请求所述VPC接入VPN请求中携带有目标VPN的VPN标识,所述目标VPN对应有唯一的网络边缘设备;
接入请求发送单元,用于向所述网络边缘设备发送VPC接入请求,所述VPC接入请求中携带有所述VPN标识,使得所述网络边缘设备根据所述VPN标识进行VPC的接入认证。
25.根据权利要求24所述的VPN路由设备,其特征在于,所述VPN路由设备还包括:
接收单元,用于接收所述网络边缘设备返回的认证响应;
实例配置单元,用于若所述认证响应指示为成功,则提取所述认证响应中携带的VPN配置参数,并根据所述VPN配置参数配置VPN实例;
结果响应单元,用于根据所述认证响应向所述云管理器发送认证结果。
26.一种云管理器,其特征在于,包括:
虚拟私有云VPC请求接收单元,用于接收VPC创建请求,所述VPC创建请求中包括有:目标虚拟私有网VPN的VPN标识,所述目标VPN对应有唯一的承载网;
VPN请求发送单元,用于向与所述承载网连接的VPN路由设备发送VPC加入VPN的请求,所述VPC接入VPN请求中携带有所述VPN标识,使得所述VPN路由设备使用所述VPN标识向网络边缘设备发起VPC接入认证。
27.根据权利要求26所述的云管理器,其特征在于,所述云管理器还包括:
响应接收单元,用于接收VPN路由设备返回的认证结果;
创建单元,用于若所述认证结果为成功,则所述云管理器在VPN路由设备内创建VPC,并将所述VPC和VPN路由设备上配置的VPN绑定。
28.一种网络边缘设备,其特征在于,包括:
接入请求接收单元,用于接收虚拟私有网VPN路由设备发送的虚拟私有云VPC接入请求,所述VPC接入请求中携带有目标VPN的VPN标识;
认证请求发送单元,用于向目标VPN的承载网对应的认证***发送认证请求,所述认证请求中携带有所述VPN标识,使得所述认证***对所述VPN标识进行认证;
认证响应单元,用于若认证成功,则所述网络边缘设备接收所述认证***发送的VPN配置参数,并向所述VPN路由设备返回认证响应,所述认证响应中携带有所述VPN配置参数。
29.根据权利要求28所述的网络边缘设备,其特征在于,所述网络边缘设备还包括:
第一配置单元,用于提取所述VPN配置参数中的VPN接入参数,将所述VPN接入参数添加到出口路由过滤列表ORF中,表示可以向所述VPN路由设备转发所述承载网内的VPN路由表;
第二配置单元,用于提取所述VPN配置参数中的接入带宽参数,根据所述接入带宽参数进行接入带宽限制的配置。
30.一种虚拟私有网VPN路由设备,其特征在于,包括:
删除请求接收单元,用于接收云管理器发送的虚拟私有云VPC删除请求,所述VPC删除请求中携带有目标VPN的承载网的网络边缘设备地址和VPC标识;
实例删除单元,用于删除所述VPC标识对应的VPN实例;
通知发送单元,用于向所述网络边缘设备地址对应的网络边缘设备发送VPC删除通知,所述VPC删除通知中携带有所述VPC标识,使得所述网络边缘设备通知认证***删除所述VPC标识对应的相关认证信息。
31.一种云管理器,其特征在于,包括:
删除接收单元,用于接收第一虚拟私有云VPC删除请求,所述第一VPC删除请求中携带有VPC标识;
目标查找单元,用于根据所述VPC标识查找目标虚拟私有网VPN的承载网,并确定与所述承载网连接的VPN路由设备和网络边缘设备地址;
删除请求发送单元,用于向所述VPN路由设备发送第二VPC删除请求,所述第二VPC删除请求中携带有所述网络边缘设备地址以及所述VPC标识。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011103169446A CN103067416A (zh) | 2011-10-18 | 2011-10-18 | 一种虚拟私云接入认证方法及相关装置 |
EP12841260.8A EP2760174A4 (en) | 2011-10-18 | 2012-07-28 | VIRTUAL PRIVATE CLOUD ACCESS AUTHENTICATION METHOD AND ASSOCIATED DEVICE |
PCT/CN2012/079308 WO2013056585A1 (zh) | 2011-10-18 | 2012-07-28 | 一种虚拟私云接入认证方法及相关装置 |
US14/255,635 US20140230044A1 (en) | 2011-10-18 | 2014-04-17 | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011103169446A CN103067416A (zh) | 2011-10-18 | 2011-10-18 | 一种虚拟私云接入认证方法及相关装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103067416A true CN103067416A (zh) | 2013-04-24 |
Family
ID=48109875
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011103169446A Pending CN103067416A (zh) | 2011-10-18 | 2011-10-18 | 一种虚拟私云接入认证方法及相关装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20140230044A1 (zh) |
EP (1) | EP2760174A4 (zh) |
CN (1) | CN103067416A (zh) |
WO (1) | WO2013056585A1 (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109951332A (zh) * | 2019-03-19 | 2019-06-28 | 江河瑞通(北京)技术有限公司 | 基于非对等网络的边缘计算设备组网方法、装置及*** |
CN110611607A (zh) * | 2019-10-08 | 2019-12-24 | 深信服科技股份有限公司 | 隧道连接方法、控制设备、存储介质及装置 |
CN110875889A (zh) * | 2018-09-03 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 一种用于获取路径的方法及其装置 |
CN111314461A (zh) * | 2020-02-14 | 2020-06-19 | 北京百度网讯科技有限公司 | Ip挂载、数据处理方法和装置 |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9692732B2 (en) * | 2011-11-29 | 2017-06-27 | Amazon Technologies, Inc. | Network connection automation |
GB2532831B (en) * | 2014-08-01 | 2017-03-22 | Kingston Digital Inc | Private cloud routing server connection mechanism for use in a private communication architecture |
PL3032448T3 (pl) | 2014-12-08 | 2020-07-13 | Ipcom Gmbh & Co. Kg | Sposób autoryzacji dostępu do informacji w systemie telekomunikacyjnym |
US10212169B2 (en) * | 2016-03-30 | 2019-02-19 | Oracle International Corporation | Enforcing data security in a cleanroom data processing environment |
US10637890B2 (en) | 2016-06-09 | 2020-04-28 | LGS Innovations LLC | Methods and systems for establishment of VPN security policy by SDN application |
US10440058B2 (en) | 2016-06-09 | 2019-10-08 | LGS Innovations LLC | Methods and systems for controlling traffic to VPN servers |
CN111742524B (zh) * | 2018-02-20 | 2021-12-14 | 华为技术有限公司 | 企业虚拟专用网络(vpn)与虚拟私有云(vpc)粘连 |
US10764266B2 (en) | 2018-06-19 | 2020-09-01 | Cisco Technology, Inc. | Distributed authentication and authorization for rapid scaling of containerized services |
US11044090B2 (en) * | 2018-07-24 | 2021-06-22 | ZenDesk, Inc. | Facilitating request authentication at a network edge device |
US11102214B2 (en) * | 2018-08-27 | 2021-08-24 | Amazon Technologies, Inc. | Directory access sharing across web services accounts |
CN109995759B (zh) * | 2019-03-04 | 2022-10-28 | 平安科技(深圳)有限公司 | 一种物理机接入vpc的方法及相关装置 |
US10855660B1 (en) | 2020-04-30 | 2020-12-01 | Snowflake Inc. | Private virtual network replication of cloud databases |
BR102021016648A2 (pt) * | 2020-08-26 | 2022-03-08 | Nokia Technologies Oy | Realocação de contexto de equipamento de usuário na borda de área de notificação de rede de acesso de rádio |
US11758001B2 (en) | 2020-12-17 | 2023-09-12 | 360 It, Uab | Dynamic system and method for identifying optimal servers in a virtual private network |
US11245670B1 (en) | 2020-12-17 | 2022-02-08 | 360 It, Uab | Dynamic system and method for identifying optimal servers in a virtual private network |
CN112995273B (zh) * | 2021-01-28 | 2022-03-04 | 腾讯科技(深圳)有限公司 | 网络打通方案生成方法、装置、计算机设备和存储介质 |
CN114499935B (zh) * | 2021-12-17 | 2023-08-29 | 阿里巴巴(中国)有限公司 | 云平台的访问方法、装置、设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110142053A1 (en) * | 2009-12-15 | 2011-06-16 | Jacobus Van Der Merwe | Methods and apparatus to communicatively couple virtual private networks to virtual machines within distributive computing networks |
CN102143136A (zh) * | 2010-08-20 | 2011-08-03 | 华为技术有限公司 | 接入业务批发网络的方法、设备、服务器和*** |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101159750B (zh) * | 2007-11-20 | 2011-12-07 | 杭州华三通信技术有限公司 | 一种身份认证方法和装置 |
CN101958805B (zh) * | 2010-09-26 | 2014-12-10 | 中兴通讯股份有限公司 | 一种云计算中终端接入和管理的方法及*** |
WO2011103840A2 (zh) * | 2011-04-19 | 2011-09-01 | 华为技术有限公司 | 虚拟私云的连接方法及隧道代理服务器 |
-
2011
- 2011-10-18 CN CN2011103169446A patent/CN103067416A/zh active Pending
-
2012
- 2012-07-28 WO PCT/CN2012/079308 patent/WO2013056585A1/zh active Application Filing
- 2012-07-28 EP EP12841260.8A patent/EP2760174A4/en not_active Withdrawn
-
2014
- 2014-04-17 US US14/255,635 patent/US20140230044A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110142053A1 (en) * | 2009-12-15 | 2011-06-16 | Jacobus Van Der Merwe | Methods and apparatus to communicatively couple virtual private networks to virtual machines within distributive computing networks |
CN102143136A (zh) * | 2010-08-20 | 2011-08-03 | 华为技术有限公司 | 接入业务批发网络的方法、设备、服务器和*** |
Non-Patent Citations (1)
Title |
---|
HIROAKI H ET AL: "《IEEE》", 15 June 2010 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110875889A (zh) * | 2018-09-03 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 一种用于获取路径的方法及其装置 |
CN109951332A (zh) * | 2019-03-19 | 2019-06-28 | 江河瑞通(北京)技术有限公司 | 基于非对等网络的边缘计算设备组网方法、装置及*** |
CN109951332B (zh) * | 2019-03-19 | 2022-04-05 | 江河瑞通(北京)技术有限公司 | 基于非对等网络的边缘计算设备组网方法、装置及*** |
CN110611607A (zh) * | 2019-10-08 | 2019-12-24 | 深信服科技股份有限公司 | 隧道连接方法、控制设备、存储介质及装置 |
CN111314461A (zh) * | 2020-02-14 | 2020-06-19 | 北京百度网讯科技有限公司 | Ip挂载、数据处理方法和装置 |
CN111314461B (zh) * | 2020-02-14 | 2022-05-17 | 北京百度网讯科技有限公司 | Ip挂载、数据处理方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
US20140230044A1 (en) | 2014-08-14 |
EP2760174A4 (en) | 2014-11-19 |
EP2760174A1 (en) | 2014-07-30 |
WO2013056585A1 (zh) | 2013-04-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103067416A (zh) | 一种虚拟私云接入认证方法及相关装置 | |
CN110401588B (zh) | 基于openstack的公有云平台中实现VPC对等连接方法及*** | |
CN106533883B (zh) | 一种网络专线的建立方法、装置及*** | |
CN109561108B (zh) | 一种基于策略的容器网络资源隔离控制方法 | |
CN103580980B (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
CN105637805B (zh) | 增强移动备用信道以解决有线线路网络中的节点故障 | |
EP2840743B1 (en) | Method and system for realizing virtual network | |
CN102422600B (zh) | 混合节点中提供的方法、相关网络以及相关网络单元 | |
CN108881308B (zh) | 一种用户终端及其认证方法、***、介质 | |
EP2922246B1 (en) | Method and data center network for cross-service zone communication | |
US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
CN107517189B (zh) | 一种wlan用户接入认证及配置信息下发的方法、设备 | |
CN103036784A (zh) | 用于自组织二层企业网络架构的方法和装置 | |
US10491414B1 (en) | System and method of providing a controlled interface between devices | |
CN101711031B (zh) | 一种本地转发中的Portal认证方法和接入控制器 | |
CN102055816A (zh) | 一种通信方法、业务服务器、中间设备、终端及通信*** | |
CN100514929C (zh) | 一种虚拟专用局域网的报文转发方法及装置 | |
CN104811371A (zh) | 一种全新的即时通信*** | |
CN103634171A (zh) | 一种动态配置方法及装置、*** | |
CN104219125A (zh) | 信息为中心网络icn中转发报文的方法、装置及*** | |
CN101159750B (zh) | 一种身份认证方法和装置 | |
CN107360089A (zh) | 一种路由建立方法、业务数据转换方法及装置 | |
CN107659930A (zh) | 一种ap接入控制方法和装置 | |
CN102480403B (zh) | 提供虚拟私有网业务的方法、设备和*** | |
CN101808038B (zh) | 一种vpn实例的划分方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130424 |