CN107547351B - 地址分配方法和装置 - Google Patents
地址分配方法和装置 Download PDFInfo
- Publication number
- CN107547351B CN107547351B CN201710686367.7A CN201710686367A CN107547351B CN 107547351 B CN107547351 B CN 107547351B CN 201710686367 A CN201710686367 A CN 201710686367A CN 107547351 B CN107547351 B CN 107547351B
- Authority
- CN
- China
- Prior art keywords
- user
- address
- dhcp message
- controller
- area network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本公开涉及一种地址分配方法和装置。其中,该方法包括:控制器通过VXLAN隧道接收网关设备发送的第一DHCP报文,所述第一DHCP报文中携带所述用户的身份信息;控制器根据所述身份信息查询本地是否保存有与所述用户对应的第一IP地址;在查询结果为是的情况下,控制器通过所述VXLAN隧道向所述网关设备回复第二DHCP报文,所述第二DHCP报文包括所述第一IP地址,所述第二DHCP报文用于指示所述网关设备将所述第一IP地址分配给所述用户。用户通过自身远程访问特定区域网络与从特定区域网络内部的设备接入能够分配到相同的IP地址,有利于保证特定区域网络的内部和外部的正常通信。
Description
技术领域
本公开涉及通信技术领域,尤其涉及一种地址分配方法和装置。
背景技术
VXLAN(Virtual eXtensible Local Area Network,可扩展虚拟局域网)是基于IP网络、采用“MAC in UDP”封装形式的二层VPN(Virtual Private Network,虚拟专用网)技术。VXLAN可以基于已有的服务提供商或企业IP(Internet Protocol,因特网协议)网络,为分散的物理站点提供二层互联,并能够为不同的租户提供业务隔离。
VXLAN主要应用于数据中心网络。VXLAN具有如下特点:
a、支持大量的租户:使用24位的标识符,最多可支持2的24次方(16777216)个VXLAN,使支持的租户数目大规模增加,解决了传统二层网络VLAN资源不足的问题。
b、易于维护:基于IP网络组建大二层网络,使得网络部署和维护更加容易,并且可以充分地利用现有的IP网络技术,例如利用等价路由进行负载分担等。只有IP核心网络的边缘设备需要进行VXLAN处理,网络中间设备只需根据IP头转发报文,降低了网络部署的难度和费用。
VXLAN技术将已有的三层物理网络作为Underlay(底层)网络,在其上构建出虚拟的二层网络,即Overlay(顶层)网络。Overlay网络通过封装技术、利用Underlay网络提供的三层转发路径,实现租户二层报文跨越三层网络在不同站点间传递。对于租户来说,Underlay网络是透明的,同一租户的不同站点就像工作在一个局域网中。
图1是VXLAN的典型网络模型的结构示意图,如图1所示,VXLAN包括如下几部分:
VM(Virtual Machine,虚拟机):在一台服务器上可以创建多台虚拟机,不同的虚拟机可以属于不同的VXLAN。属于相同VXLAN的虚拟机处于同一个逻辑二层网络,彼此之间二层互通。属于不同VXLAN的虚拟机之间二层隔离。VXLAN通过VXLAN ID来标识,VXLAN ID又称VNI(VXLAN Network Identifier,VXLAN网络标识符),其长度为24比特。
VTEP(VXLAN Tunnel End Point,VXLAN隧道端点):VXLAN的边缘设备。VXLAN的相关处理都在VTEP上进行,例如识别以太网数据帧所属的VXLAN、基于VXLAN对数据帧进行二层转发、封装/解封装报文等。VTEP可以是一***立的物理设备,也可以是虚拟机所在的服务器(Server)。
VXLAN隧道:两个VTEP之间的点到点逻辑隧道。VTEP为数据帧封装VXLAN头、UDP(User Datagram Protocol,用户数据报协议)头和IP头后,通过VXLAN隧道将封装后的报文转发给远端VTEP,远端VTEP对其进行解封装。
核心设备:IP核心网络中的设备。核心设备不参与VXLAN处理,仅需要根据封装后报文的目的IP地址对报文进行三层转发。
VSI(Virtual Switch Instance,虚拟交换实例):VTEP上为一个VXLAN提供二层交换服务的虚拟交换实例。VSI可以看作是VTEP上的一台基于VXLAN进行二层转发的虚拟交换机。VSI具有传统以太网交换机的所有功能,包括:源MAC地址学习、MAC地址老化、泛洪等。VSI与VXLAN一一对应。
对于用户动态接入VXLAN业务,目前最常用的方案是通过DHCP(Dynamic HostConfiguration Protocol,动态主机配置协议)服务器进行用户的IP地址的获取。如图2所示,对于一个园区,用户A在园区内部通过portsec(端口安全)认证上线之后进行认证接入,以及在园区外面通过SSLVPN(Security Socket Layer VPN,安全套接层VPN)进行认证接入。这两种情况下,都通过DHCP服务器进行IP地址的获取。
图2为VXLAN的现有实现图。如图2所示,用户A从园区内部通过VXLAN动态接入,以及从园区外面通过VPN动态接入。目前DHCP服务器会给这两种接入方式分配不同网段的IP地址,用于保障园区内外业务的互通。
发明内容
有鉴于此,本公开提出了一种地址分配方法和装置。
根据本公开的一方面,提供了一种地址分配方法,包括:
控制器通过虚拟可扩展局域网VXLAN隧道接收网关设备发送的第一DHCP报文,其中,所述第一DHCP报文为所述网关设备在用户通过自身远程访问特定区域网络时发送的,所述第一DHCP报文中携带所述用户的身份信息,所述VXLAN隧道为所述控制器与所述网关设备之间的隧道;
所述控制器根据所述身份信息查询本地是否保存有与所述用户对应的第一IP地址;
在查询结果为是的情况下,所述控制器通过所述VXLAN隧道向所述网关设备回复第二DHCP报文,所述第二DHCP报文包括所述第一IP地址,所述第二DHCP报文用于指示所述网关设备将所述第一IP地址分配给所述用户。
根据本公开的另一方面,提供了一种地址分配方法,包括:
网关设备通过VXLAN隧道向控制器发送第一DHCP报文,所述第一DHCP报文为所述网关设备在用户通过自身远程访问特定区域网络时发送的,所述第一DHCP报文中携带所述用户的身份信息,所述VXLAN隧道为所述控制器与所述网关设备之间的隧道;
所述网关设备通过所述VXLAN隧道接收所述控制器回复的第二DHCP报文,所述第二DHCP报文包括所述用户对应的IP地址;
所述网关设备将所述用户对应的IP地址分配给所述用户。
根据本公开的另一方面,提供了一种地址分配装置,包括:
第一接收模块,用于通过虚拟可扩展局域网VXLAN隧道接收网关设备发送的第一DHCP报文,其中,所述第一DHCP报文为所述网关设备在用户通过自身远程访问特定区域网络时发送的,所述第一DHCP报文中携带所述用户的身份信息,所述VXLAN隧道为所述控制器与所述网关设备之间的隧道;
查询模块,用于根据所述身份信息查询本地是否保存有与所述用户对应的第一IP地址;
第一发送模块,用于在查询结果为是的情况下,通过所述VXLAN隧道向所述网关设备回复第二DHCP报文,所述第二DHCP报文包括所述第一IP地址,所述第二DHCP报文用于指示所述网关设备将所述第一IP地址分配给所述用户。
根据本公开的另一方面,提供了一种地址分配装置,包括:
第三发送模块,用于通过VXLAN隧道向控制器发送第一DHCP报文,所述第一DHCP报文为所述网关设备在用户通过自身远程访问特定区域网络时发送的,所述第一DHCP报文中携带所述用户的身份信息,所述VXLAN隧道为所述控制器与所述网关设备之间的隧道;
第二接收模块,用于通过所述VXLAN隧道接收所述控制器回复的第二DHCP报文,所述第二DHCP报文包括所述用户对应的IP地址;
第一分配模块,用于将所述用户对应的IP地址分配给所述用户。
通过本公开的地址分配方法和装置,用户通过自身远程访问特定区域网络与从特定区域网络内部的设备接入能够分配到相同的IP地址,有利于保证特定区域网络的内部和外部的正常通信。进一步地,有利于将用户与IP地址绑定,将用户的访问权限跟随IP地址迁徙。此外,不需要根据用户的接入地点不同,重新分配用户IP和用户的安全域。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1是VXLAN的典型网络模型的结构示意图。
图2为VXLAN的现有实现图。
图3示出根据本公开一实施例的地址分配方法的流程图。
图4示出根据本公开一实施例的地址分配方法的另一流程图。
图5示出根据本公开另一实施例的地址分配方法的流程图。
图6示出根据本公开另一实施例的地址分配方法的另一流程图。
图7示出根据本公开一实施例的地址分配方法中的应用场景示意图。
图8示出根据本公开另一实施例的地址分配方法的流程图。
图9示出根据本公开一实施例的地址分配装置的结构示意图。
图10示出根据本公开一实施例的地址分配装置的另一结构示意图。
图11示出根据本公开另一实施例的地址分配装置的结构示意图。
图12示出根据本公开另一实施例的地址分配装置的另一结构示意图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
图2的实现方案中,对于EVPN(Ethernet VPN,以太网VPN)组网,如果用户从外部接入特定区域网络(例如园区)的IP地址与用户从内部接入时的IP地址属于相同网段的不同IP地址,由于SPINE设备只能发布网段路由,外网路由与内部的主机路由相冲突,会出现无法通信(例如园区内和园区外无法通信)的问题。例如,用户A从VPN GW接入时,DHCP服务器为用户A分配的IP地址为10.1.1.10。用户A从园区内的LEAF设备登陆时,DHCP服务器为用户分配的IP地址为10.1.1.11。这两个地址属于相同网段的不同IP地址。SPINE设备只会选择32位主机内部的路由10.1.1.11进行转发,而不会选择24位的外网路由10.1.1.10进行转发。这样会使得用户A在园区内和园区外均无法正常通信。
在本公开实施例中,DHCP服务器可以根据用户进行IP地址的分配,以保障同一个用户不管在园区内部还是园区外部都通过一个IP地址进行登录,从而保障用户在园区内和园区外的正常通信。
图3示出根据本公开一实施例的地址分配方法的流程图。如图3所示,该方法可以应用于控制器中,该方法可以包括:
步骤301、控制器通过VXLAN隧道接收网关设备发送的第一DHCP报文,其中,所述第一DHCP报文为所述网关设备在用户通过自身远程访问特定区域网络时发送的,所述第一DHCP报文中携带所述用户的身份信息,所述VXLAN隧道为所述控制器与所述网关设备之间的隧道;
步骤302、所述控制器根据所述身份信息查询本地是否保存有与所述用户对应的第一IP地址;
步骤303、在查询结果为是的情况下,所述控制器通过所述VXLAN隧道向所述网关设备回复第二DHCP报文,所述第二DHCP报文包括所述第一IP地址,所述第二DHCP报文用于指示所述网关设备将所述第一IP地址分配给所述用户。
在本公开实施例中,网关设备可以为具有VPN功能的网关设备,例如图2中的VPNGW。
在一种可能的实现方式中,如图4所示,在步骤400中,当所述用户通过特定区域网络内的设备接入的情况下,请求所述DHCP服务器为所述用户分配未使用的IP地址,所述控制器将为通过特定区域网络内的设备接入的所述用户分配的IP地址作为所述第一IP地址,并记录所述用户与所述第一IP地址的第一对应关系。
此外,在步骤401中,可以建立控制器与网关设备之间的VXLAN隧道。其中,控制器与网关设备之间的VXLAN隧道可以使得控制器与网关设备之间直接通信。并且该VXLAN隧道可以作为发起本地查询IP地址的专用隧道,控制器从该VXLAN隧道接收到DHCP报文后,会先发起本地查询,在控制器本地查找是否存有与用户对应的IP地址。
并且,在SPINE设备和VPN GW之上可以设置特殊的VXLAN网络标识符。在一种可能的实现方式中,所述第一DHCP报文中还包括用于表示所述用户进行VPN接入业务的VXLAN网络标识符;所述VXLAN网络标识符用于指示所述控制器为所述用户分配本地保存的与所述用户对应的第一IP地址。控制器从该VXLAN隧道接收到第一DHCP报文后,从该第一DHCP报文中获取该特殊的VXLAN网络标识符,即可先发起本地查询。
在一种可能的实现方式中,如图4所示,在步骤402中,在步骤302的查询结果为否的情况下,控制器请求DHCP服务器为所述用户分配未使用的第二IP地址,并通过所述VXLAN隧道向所述网关设备回复第三DHCP报文,所述第三DHCP报文包括所述第二IP地址,所述第三DHCP报文用于指示所述网关设备将所述第二IP地址分配给所述用户。
在一种可能的实现方式中,控制器记录所述用户和第二IP地址的第二对应关系,以使得在所述用户通过特定区域网络内的设备接入时,所述控制器能够根据所述第二对应关系为所述用户分配所述第二IP地址。
如图7所示,特定区域网络内的设备可以包括根设备(SPINE设备)和叶设备(LEAF设备)等。其中,SPINE设备也可以称为骨干设备、根节点等。LEAF设备也可以称为接入设备、动态接入点、叶节点等。此外,DHCP服务器可以为独立的设备,也可以集成在控制器中。
举例而言,用户A从园区内部的设备例如LEAF设备首次登陆上线时,通过与LEAF设备连接的SPINE设备接入控制器(Director)。Director可以对用户A进行认证,并通过DHCP协议为认证通过的用户A分配未使用的IP地址。并记录用户A与为其分配的第一IP地址之间的第一对应关系。例如记录该用户的账号信息、登录名等与该第一IP地址之间的第一对应关系。并且,可以建立Director和VPN GW之间的特殊的VXLAN隧道。例如,在SPINE设备和VPNGW之上设置用于表示用户进行VPN接入业务的VXLAN网络标识符,例如VIN 65535。
如果用户A后续通过自身远程访问园区,例如从VPN GW登陆上线,则在VPN GW对用户认证后,可以结束所收到的VPN报文。然后,VPN GW再基于上述特殊的VXLAN隧道重新封装DHCP VXLAN封装报文(第一DHCP报文的示例),该报文中包括VIN 65535。Director收到带有VIN 65535的报文后,查找本地是否保存了用户A的第一对应关系。如果有,则从用户A的第一对应关系中获取与该用户A对应的第一IP地址。
如果Director本地存有与该用户A对应的第一IP地址,则Director向VPN GW发送带有VIN 65535和与该用户A对应的第一IP地址的DHCP提供报文(第二DHCP报文的示例)。如果Director本地没有与该用户A对应的第一IP地址,则Director请求DHCP服务器为该用户A分配一个未使用的IP地址(第二IP地址)。然后再向VPN GW发送带有VIN 65535和第二IP地址的DHCP提供报文。VPN GW收到DHCP提供报文后,将其中的第二IP地址分配给该用户S。
此外,Director也可以在本地保存用户A与第二IP地址的第二对应关系。后续,如果用户A从园区内部的LEAF设备登陆上线,控制器可以先在本地查找是否保存有用户A的第二对应关系。如果有,则控制器通过DHCP提供报文将与用户A对应的第二IP地址分配给用户A。如果没有,控制器再请求DHCP服务器为用户A分配未使用的IP地址。
在VPN GW可为用户分配了IP地址之后,VPN GW可以通过路由协议向SPINE设备发布该IP地址对应的主机地址(或称为主机路由)。SPINE设备收到该主机地址后,可以通过EVPN将该主机地址发布给各LEAF设备。收到该主机地址的LEAF设备,可以直接生成该主机地址对应的转发表项,并使得该转发表项指向SPINE设备。其中,VPN GW可以将该主机地址中的可迁徙扩展团体属性设置为0,以表示最高优先级团体属性。SPINE设备收到带有最高优先级的团体属性主机地址后,再通过EVPN将该主机地址发布给各LEAF设备。
如果收到该主机地址的LEAF设备上已经存在与该主机地址的网段相同的本地IP地址的转发表项,并且该转发表项不指向SPINE设备,则可以在LEAF设备上同步该用户的路由。具体而言,可以比较LEAF设备上的本地IP地址与收到的主机地址的可迁徙扩展团体属性的值,将二者中可迁徙扩展团体属性的值较小的地址的转发表项下发转发面。如果二者可迁徙扩展团体属性的值相同,则可以将后到LEAF设备的地址的转发表项优先生效。
在本实施例中,设置主机地址中的可迁徙扩展团体属性仅是一种示例,也可以采用其他方式来生成转发表项。例如,如果收到该主机地址的LEAF设备上已经存在与该主机地址的网段相同的本地IP地址的转发表项,可以删除已存在该转发表项,再采用收到的主机地址重新生成对应的转发表项。
本实施例的地址分配方法,用户通过自身远程访问特定区域网络与从特定区域网络内部的设备接入能够分配到相同的IP地址,有利于保证特定区域网络的内部和外部的正常通信。进一步地,有利于将用户与IP地址绑定,将用户的访问权限跟随IP地址迁徙。不需要根据用户的接入地点不同,重新分配用户IP地址和用户的安全域。
图5示出根据本公开另一实施例的地址分配方法的流程图。如图5所示,该方法可以应用于网关设备中,该方法可以包括:
步骤501、网关设备通过VXLAN隧道向控制器发送第一DHCP报文,所述第一DHCP报文为所述网关设备在用户通过自身远程访问特定区域网络时发送的,所述第一DHCP报文中携带所述用户的身份信息,所述VXLAN隧道为所述控制器与所述网关设备之间的隧道;
步骤502、网关设备通过所述VXLAN隧道接收所述控制器回复的第二DHCP报文,所述第二DHCP报文包括所述用户对应的IP地址;
步骤503、网关设备将所述用户对应的IP地址分配给所述用户。
在一种可能的实现方式中,所述用户对应的IP地址包括第一IP地址或第二IP地址;所述第一IP地址是所述用户通过自身远程访问特定区域网络时,所述控制器根据本地保存的第一对应关系为所述用户分配的IP地址;所述第二IP地址是所述用户通过自身远程访问特定区域网络时,所述控制器请求DHCP服务器为所述用户分配未使用的IP地址。
在一种可能的实现方式中,所述第一DHCP报文中还包括用于表示所述用户进行VPN接入业务的VXLAN网络标识符;所述VXLAN网络标识符用于指示所述控制器为所述用户分配本地保存的与所述用户对应的第一IP地址。
如图6所示,在步骤601中,网关设备向特定区域网络内的第一设备发布为所述用户分配的IP地址,由所述第一设备向各第二设备发布为所述用户分配的IP地址,以在所述第二设备上生成与为所述用户分配的IP地址对应的转发表项。
举例而言,如图7所示,网关设备通过路由协议向第一设备例如SPINE设备发布为用户A分配的IP地址,由SPINE设备通过EVPN向各LEAF设备发布为用户A分配的IP地址,以在LEAF设备上生成与为用户A分配的IP地址对应的转发表项。其中,网关设备可以将为用户A分配的IP地址中的可迁徙扩展团体属性设置为最高优先级,例如,设置为0。
如果(收到该主机地址的)LEAF设备上与为用户A分配的IP地址相同的本地IP地址的转发表项不指向SPINE设备,则比较所述本地IP地址与为所述用户分配的IP地址的可迁徙扩展团体属性的值。将二者中可迁徙扩展团体属性的值较小的地址的转发表项下发转发面。如果二者可迁徙扩展团体属性的值相同,则将后到LEAF设备的地址的转发表项优先生效。
此外,如图6所示,在步骤602中,网关设备在检测到所述用户从VPN下线的情况下,指示所述第一设备向各第二设备下发用于撤销EVPN同步路由的BGP(order GatewayProtocol,边界网关协议)路由消息。如图7所示,VPN GW通知SPINE设备该用户A下线后,SPINE设备可以向所有的EVPN远端邻居(如与该SPINE设备连接的各LEAF设备)下发BGP路由消息,以撤销EVPN同步路由。
图7示出根据本公开一实施例的地址分配方法中的应用场景示意图。如图7所示,在本公开中,新增一种交互机制,在SSLVPN的接入网关设备(即VPN GW)做接入用户认证的终结操作。并同时在本地网关做DHCP地址的获取。SSLVPN和Director(控制器)之间通过建立特殊的VXLAN隧道来连接,可以直接向DHCP服务器去申请地址。如果之前园区内部做过用户A的登录上线,则Director(控制器)上面存在用户A登录信息。此时对该SSLVPN接入用户,则用园区内部登录过的IP地址进行应答,并同时对该IP地址进行VXLAN封装时,在DHCPVXLAN封装报文的头部做特殊标记(例如将VNI设置为65535)。当VPN GW收到做特殊标记DHCP VXLAN封装报文中的IP地址时,通过EVPN协议向园区内部网络进行发布IP地址的主机路由,保证园区内和园区外的通信正常。
图8示出根据本公开另一实施例的地址分配方法的流程图。如图8所示,结合图7,该地址分配方法可以包括:
步骤801、用户A在园区内部上线之后,通过VXLAN动态接入点(例如LEAF设备)接入Director,从DHCP服务器(可以集成在Director中)获取IP地址,例如100.1.1.2/32。同时Director可以记录下用户A与为该用户A分配的IP地址的对应关系。
步骤802、Director与接入的SPINE设备(根设备)和VPN GW之间建立VXLAN隧道。该VXLAN隧道是用于对接入VPN的用户进行认证和地址分配的通道。在SPINE和VPN GW上面可以进行VNI 65535的设置,该VNI 65535所表示的业务可以特指用户进行VPN接入业务。
步骤803、当用户A通过SSLVPN接入VPN GW时,在GW上面通过VPN对该用户A进行认证。例如认证用户A的账号和密码是否正确,如果认证通过,则可以终结VPN的报文。然后,重新封装上述VXLAN隧道的报文,以向Director申请内部的IP地址(即DHCP VXLAN封装报文)。当Director在收到来自VPN GW的带有VNI 65535的DHCP VXLAN封装报文之后,可以查询园区内部本地用户与所分配IP地址的对应关系。如果查询到有该用户A的对应关系,则可以直接将该对应关系中的IP地址分配给VPN接入的用户A。如果查询不到该用户A的对应关系,则为用户A分配一个新的IP地址。并且,可以在Director本地同步保存该IP地址和用户A的对应关系,以便后续用户A在园区内部(通过LEAF设备)登录(VXLAN)时可以使用相同的IP地址。
步骤804、Director将IP地址100.1.1.2/32分配给用户A的同时,可以按照原来的VNI 65535所对应的XLAN隧道发送给VPN GW设备。VPN GW设备在收到Director发送的VXLAN封装为65535的DHCP提供(offer)报文之后,则将IP地址100.1.1.2/32分配给用户A作为VPN接入的IP地址。
步骤805、VPN GW上面用户A分配到IP地址100.1.1.2/32(也可以称为主机地址、主机路由等)之后,通过路由协议将该地址100.1.1.2/32发布给SPINE设备。该地址同时也是Director分配给VPN接入用户的IP地址。所以在SPINE设备接收到该地址时,直接通过EVPN将该地址(32位主机路由)发布出去。同时由于该地址是发布给外网的路由,则可以在EVPN中将该地址的可迁徙扩展团体属性设置为0,为最高优先级团体属性。其中,VPN GW可以先将该地址的可迁徙扩展团体属性设置为0,再发给SPINE设备。
步骤806、园区内部所有的LEAF接入点(也可以称为LEAF设备、叶设备等)在收到EVPN同步的IP地址100.1.1.2/32之后,在本地生成该IP地址对应的转发表项。如果本地存在IP地址100.1.1.2/32的转发表项(可以称为本地转发表项),且本地转发表项并不是指向SPINE设备,则比较二者(为用户A分配的IP地址与本地IP地址)的可迁徙扩展团体属性的值,以小者的表项下发转发面。如果可迁徙扩展团体属性的值相同,则后到LEAF接入点的地址优先生效。
步骤807、如果VPN接入用户下线,则从SPINE设备向所有的EVPN远端邻居下发例如BGP路由消息,来撤销EVPN同步路由。
本实施例的地址分配方法,新增了VPN用户动态接入VXLAN组网DHCP获取IP地址的功能,并新增了Director对用户和分配IP地址的绑定功能。为后续相同用户,采用不同方式接入VXLAN组网时,分配相同的IP地址分配提供了可能。这样,可以保证VXLAN/EVPN动态接入组网情况下,用户能够在园区内外分配到相同的IP地址,有利于将用户跟IP地址绑定,用户的访问权限可以跟随IP地址迁徙。不需要重新根据用户的接入地点不同,重新分配用户IP和用户的安全域。本实施例的地址分配方法,SPINE设备通过EVPN向LEAF设备发布为VPN接入用户分配的IP地址,新增了EVPN针对VPN接入用户向EVPN***主机路由的功能。此外,本实施例的地址分配方法,在LEAF设备上对与收到的IP地址相同的本地IP地址的转发表项进行更新,新增了EVPN针对VPN接入用户与内网相同用户的转发表项同步的功能。这样,有利于保证VXLAN组网的内网和外网的正常通信。
图9示出根据本公开一实施例的地址分配装置的结构示意图。如图9所示,该地址分配装置可以包括:
第一接收模块11,用于通过虚拟可扩展局域网VXLAN隧道接收网关设备发送的第一DHCP报文,其中,所述第一DHCP报文为所述网关设备在用户通过自身远程访问特定区域网络时发送的,所述第一DHCP报文中携带所述用户的身份信息,所述VXLAN隧道为所述控制器与所述网关设备之间的隧道;
查询模块13,用于根据所述身份信息查询本地是否保存有与所述用户对应的第一IP地址;
第一发送模块15,用于在查询结果为是的情况下,通过所述VXLAN隧道向所述网关设备回复第二DHCP报文,所述第二DHCP报文包括所述第一IP地址,所述第二DHCP报文用于指示所述网关设备将所述第一IP地址分配给所述用户。
在一种可能的实现方式中,如图10所示,该装置还可以包括:
第二发送模块21,用于在查询结果为否的情况下,请求DHCP服务器为所述用户分配未使用的第二IP地址,并通过所述VXLAN隧道向所述网关设备回复第三DHCP报文,所述第三DHCP报文包括所述第二IP地址,所述第三DHCP报文用于指示所述网关设备将所述第二IP地址分配给所述用户,并记录所述用户和第二IP地址的第二对应关系,以使得在所述用户通过特定区域网络内的设备接入时,能够根据所述第二对应关系为所述用户分配所述第二IP地址。
在一种可能的实现方式中,如图10所示,该装置还可以包括:
请求模块22,用于当所述用户通过特定区域网络内的设备接入的情况下,请求所述DHCP服务器为所述用户分配未使用的IP地址;
记录模块23,用于将为通过特定区域网络内的设备接入的所述用户分配的IP地址作为所述第一IP地址,并记录所述用户与所述第一IP地址的第一对应关系。
在一种可能的实现方式中,所述第一DHCP报文中还包括用于表示所述用户进行VPN接入业务的VXLAN网络标识符;所述VXLAN网络标识符用于指示所述控制器为所述用户分配本地保存的与所述用户对应的第一IP地址。
图11示出根据本公开另一实施例的地址分配装置的结构示意图。如图11所示,该地址分配装置可以包括:
第三发送模块31,用于通过VXLAN隧道向控制器发送第一DHCP报文,所述第一DHCP报文为所述网关设备在用户通过自身远程访问特定区域网络时发送的,所述第一DHCP报文中携带所述用户的身份信息,所述VXLAN隧道为所述控制器与所述网关设备之间的隧道;
第二接收模块33,用于通过所述VXLAN隧道接收所述控制器回复的第二DHCP报文,所述第二DHCP报文包括所述用户对应的IP地址;
第一分配模块35,用于将所述用户对应的IP地址分配给所述用户。
在一种可能的实现方式中,所述用户对应的IP地址包括第一IP地址或第二IP地址;所述第一IP地址是所述用户通过自身远程访问特定区域网络时,所述控制器根据本地保存的第一对应关系为所述用户分配的IP地址;所述第二IP地址是所述用户通过自身远程访问特定区域网络时,所述控制器请求DHCP服务器为所述用户分配未使用的IP地址。
在一种可能的实现方式中,所述VXLAN网络标识符用于指示所述控制器为所述用户分配本地保存的与所述用户对应的第一IP地址。
在一种可能的实现方式中,如图12所示,该装置还可以包括:
第三接收模块41,用于通过所述VXLAN隧道接收来自所述控制器的第二DHCP报文,所述第二DHCP报文包括所述控制器在所述用户通过特定区域网络内的设备接入的情况下,请求所述DHCP服务器为所述用户分配未使用的IP地址;
第二分配模块43,用于将所述第二IP地址分配给所述用户。
在一种可能的实现方式中,如图12所示,该装置还可以包括:
发布模块45,用于向特定区域网络内的第一设备发布为所述用户分配的IP地址,由所述第一设备向各第二设备发布为所述用户分配的IP地址,以在所述第二设备上生成与为所述用户分配的IP地址对应的转发表项。
在一种可能的实现方式中,如图12所示,该装置还可以包括:
撤销模块49,用于在检测到所述用户从VPN下线的情况下,指示所述第一设备向各第二设备下发用于撤销EVPN同步路由的BGP路由消息。
关于上述实施例中的各装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
采用本公开实施例的地址分配装置,通过自身远程访问特定区域网络与从特定区域网络内部的设备接入能够分配到相同的IP地址,有利于保证特定区域网络的内部和外部的正常通信。进一步地,有利于将用户与IP地址绑定,将用户的访问权限跟随IP地址迁徙。不需要根据用户的接入地点不同,重新分配用户IP地址和用户的安全域。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (16)
1.一种地址分配方法,其特征在于,包括:
控制器通过虚拟可扩展局域网VXLAN隧道接收网关设备发送的第一DHCP报文,其中,所述第一DHCP报文为所述网关设备在用户通过自身远程访问特定区域网络时发送的,所述第一DHCP报文中携带所述用户的身份信息,所述VXLAN隧道为所述控制器与所述网关设备之间的隧道;
所述控制器根据所述身份信息查询本地是否保存有与所述用户对应的第一IP地址;
在查询结果为是的情况下,所述控制器通过所述VXLAN隧道向所述网关设备回复第二DHCP报文,所述第二DHCP报文包括所述第一IP地址,所述第二DHCP报文用于指示所述网关设备将所述第一IP地址分配给所述用户;
所述第一IP地址由网关设备向特定区域网络内的第一设备发布;由所述第一设备向各第二设备发布,以在所述第二设备上生成与为所述用户分配的第一IP地址对应的转发表项。
2.根据权利要求1所述的方法,其特征在于,还包括:
在查询结果为否的情况下,所述控制器请求DHCP服务器为所述用户分配未使用的第二IP地址,并通过所述VXLAN隧道向所述网关设备回复第三DHCP报文,所述第三DHCP报文包括所述第二IP地址,所述第三DHCP报文用于指示所述网关设备将所述第二IP地址分配给所述用户,并记录所述用户和第二IP地址的第二对应关系,以使得在所述用户通过特定区域网络内的设备接入时,所述控制器能够根据所述第二对应关系为所述用户分配所述第二IP地址。
3.根据权利要求1所述的方法,其特征在于,还包括:
当所述用户通过特定区域网络内的设备接入的情况下,请求DHCP服务器为所述用户分配未使用的IP地址,所述控制器将为通过特定区域网络内的设备接入的所述用户分配的IP地址作为所述第一IP地址,并记录所述用户与所述第一IP地址的第一对应关系。
4.根据权利要求1至3中任一项所述的方法,其特征在于,
所述第一DHCP报文中还包括用于表示所述用户进行VPN接入业务的VXLAN网络标识符;
所述VXLAN网络标识符用于指示所述控制器为所述用户分配本地保存的与所述用户对应的第一IP地址。
5.一种地址分配方法,其特征在于,包括:
网关设备通过VXLAN隧道向控制器发送第一DHCP报文,所述第一DHCP报文为所述网关设备在用户通过自身远程访问特定区域网络时发送的,所述第一DHCP报文中携带所述用户的身份信息,所述VXLAN隧道为所述控制器与所述网关设备之间的隧道;
所述网关设备通过所述VXLAN隧道接收所述控制器回复的第二DHCP报文,所述第二DHCP报文包括所述用户对应的IP地址;
所述网关设备将所述用户对应的IP地址分配给所述用户;
所述网关设备向特定区域网络内的第一设备发布为所述用户分配的IP地址,由所述第一设备向各第二设备发布为所述用户分配的IP地址,以在所述第二设备上生成与为所述用户分配的IP地址对应的转发表项。
6.根据权利要求5所述的方法,其特征在于,所述用户对应的IP地址包括第一IP地址或第二IP地址;
所述第一IP地址是所述用户通过自身远程访问特定区域网络时,所述控制器根据本地保存的第一对应关系为所述用户分配的IP地址;
所述第二IP地址是所述用户通过自身远程访问特定区域网络时,所述控制器请求DHCP服务器为所述用户分配未使用的IP地址。
7.根据权利要求5或6所述的方法,其特征在于,所述第一DHCP报文中还包括用于表示所述用户进行VPN接入业务的VXLAN网络标识符;
所述VXLAN网络标识符用于指示所述控制器为所述用户分配本地保存的与所述用户对应的第一IP地址。
8.根据权利要求5或6所述的方法,其特征在于,还包括:
所述网关设备在检测到所述用户从VPN下线的情况下,指示第一设备向各第二设备下发用于撤销EVPN同步路由的BGP路由消息。
9.一种地址分配装置,其特征在于,包括:
第一接收模块,用于通过虚拟可扩展局域网VXLAN隧道接收网关设备发送的第一DHCP报文,其中,所述第一DHCP报文为所述网关设备在用户通过自身远程访问特定区域网络时发送的,所述第一DHCP报文中携带所述用户的身份信息,所述VXLAN隧道为控制器与所述网关设备之间的隧道;
查询模块,用于根据所述身份信息查询本地是否保存有与所述用户对应的第一IP地址;
第一发送模块,用于在查询结果为是的情况下,通过所述VXLAN隧道向所述网关设备回复第二DHCP报文,所述第二DHCP报文包括所述第一IP地址,所述第二DHCP报文用于指示所述网关设备将所述第一IP地址分配给所述用户;所述第一IP地址由网关设备向特定区域网络内的第一设备发布;由所述第一设备向各第二设备发布,以在所述第二设备上生成与为所述用户分配的第一IP地址对应的转发表项。
10.根据权利要求9所述的装置,其特征在于,还包括:
第二发送模块,用于在查询结果为否的情况下,请求DHCP服务器为所述用户分配未使用的第二IP地址,并通过所述VXLAN隧道向所述网关设备回复第三DHCP报文,所述第三DHCP报文包括所述第二IP地址,所述第三DHCP报文用于指示所述网关设备将所述第二IP地址分配给所述用户,并记录所述用户和第二IP地址的第二对应关系,以使得在所述用户通过特定区域网络内的设备接入时,能够根据所述第二对应关系为所述用户分配所述第二IP地址。
11.根据权利要求9所述的装置,其特征在于,还包括:
请求模块,用于当所述用户通过特定区域网络内的设备接入的情况下,请求DHCP服务器为所述用户分配未使用的IP地址;
记录模块,用于将为通过特定区域网络内的设备接入的所述用户分配的IP地址作为所述第一IP地址,并记录所述用户与所述第一IP地址的第一对应关系。
12.根据权利要求9至11中任一项所述的装置,其特征在于,
所述第一DHCP报文中还包括用于表示所述用户进行VPN接入业务的VXLAN网络标识符;
所述VXLAN网络标识符用于指示所述控制器为所述用户分配本地保存的与所述用户对应的第一IP地址。
13.一种地址分配装置,其特征在于,包括:
第三发送模块,用于通过VXLAN隧道向控制器发送第一DHCP报文,所述第一DHCP报文为网关设备在用户通过自身远程访问特定区域网络时发送的,所述第一DHCP报文中携带所述用户的身份信息,所述VXLAN隧道为所述控制器与所述网关设备之间的隧道;
第二接收模块,用于通过所述VXLAN隧道接收所述控制器回复的第二DHCP报文,所述第二DHCP报文包括所述用户对应的IP地址;
第一分配模块,用于将所述用户对应的IP地址分配给所述用户;
发布模块,用于向特定区域网络内的第一设备发布为所述用户分配的IP地址,由所述第一设备向各第二设备发布为所述用户分配的IP地址,以在所述第二设备上生成与为所述用户分配的IP地址对应的转发表项。
14.根据权利要求13所述的装置,其特征在于,所述用户对应的IP地址包括第一IP地址或第二IP地址;
所述第一IP地址是所述用户通过自身远程访问特定区域网络时,所述控制器根据本地保存的第一对应关系为所述用户分配的IP地址;
所述第二IP地址是所述用户通过自身远程访问特定区域网络时,所述控制器请求DHCP服务器为所述用户分配未使用的IP地址。
15.根据权利要求13或14所述的装置,其特征在于,所述第一DHCP报文中还包括用于表示所述用户进行VPN接入业务的VXLAN网络标识符;
所述VXLAN网络标识符用于指示所述控制器为所述用户分配本地保存的与所述用户对应的第一IP地址。
16.根据权利要求13或14所述的装置,其特征在于,还包括:
撤销模块,用于在检测到所述用户从VPN下线的情况下,指示第一设备向各第二设备下发用于撤销EVPN同步路由的BGP路由消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710686367.7A CN107547351B (zh) | 2017-08-11 | 2017-08-11 | 地址分配方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710686367.7A CN107547351B (zh) | 2017-08-11 | 2017-08-11 | 地址分配方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107547351A CN107547351A (zh) | 2018-01-05 |
| CN107547351B true CN107547351B (zh) | 2020-07-07 |
Family
ID=60970259
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710686367.7A Active CN107547351B (zh) | 2017-08-11 | 2017-08-11 | 地址分配方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107547351B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109921944B (zh) * | 2019-03-21 | 2021-12-14 | 青岛铁木真软件技术有限公司 | 用于工业互联网的网络边界控制方法及装置 |
| CN110601881B (zh) * | 2019-09-04 | 2021-10-22 | 厦门网宿有限公司 | 一种二层专线网络***、配置方法及设备 |
| CN115665033A (zh) * | 2021-07-07 | 2023-01-31 | 中兴通讯股份有限公司 | 跨设备链路聚合报文处理方法、***、交换机及存储介质 |
| CN113595847B (zh) * | 2021-07-21 | 2023-04-07 | 上海淇玥信息技术有限公司 | 远程接入方法、***、设备和介质 |
| CN113765904B (zh) * | 2021-08-26 | 2023-03-31 | 新华三大数据技术有限公司 | 一种认证方法及装置 |
| CN113885307A (zh) * | 2021-10-12 | 2022-01-04 | 广东安朴电力技术有限公司 | Svg并机冗余控制方法、svg控制方法及控制*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105592062A (zh) * | 2015-10-28 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种保持ip地址不变的方法及装置 |
| CN105763671A (zh) * | 2016-04-27 | 2016-07-13 | 杭州华三通信技术有限公司 | 一种ip地址的分配方法和装置 |
| CN106059888A (zh) * | 2016-07-29 | 2016-10-26 | 浪潮(北京)电子信息产业有限公司 | 一种基于开放式网络操作***的ip地址分配方法及装置 |
| CN106302861A (zh) * | 2016-09-27 | 2017-01-04 | 杭州华三通信技术有限公司 | 一种地址分配方法及装置 |
| CN107094110A (zh) * | 2017-04-19 | 2017-08-25 | 新华三技术有限公司 | 一种dhcp报文转发方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9634934B2 (en) * | 2015-05-08 | 2017-04-25 | Cisco Technology, Inc. | Dynamic host configuration protocol relay in a multipod fabric |
-
2017
- 2017-08-11 CN CN201710686367.7A patent/CN107547351B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105592062A (zh) * | 2015-10-28 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种保持ip地址不变的方法及装置 |
| CN105763671A (zh) * | 2016-04-27 | 2016-07-13 | 杭州华三通信技术有限公司 | 一种ip地址的分配方法和装置 |
| CN106059888A (zh) * | 2016-07-29 | 2016-10-26 | 浪潮(北京)电子信息产业有限公司 | 一种基于开放式网络操作***的ip地址分配方法及装置 |
| CN106302861A (zh) * | 2016-09-27 | 2017-01-04 | 杭州华三通信技术有限公司 | 一种地址分配方法及装置 |
| CN107094110A (zh) * | 2017-04-19 | 2017-08-25 | 新华三技术有限公司 | 一种dhcp报文转发方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107547351A (zh) | 2018-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107547351B (zh) | 地址分配方法和装置 | |
| JP6648308B2 (ja) | パケット伝送 | |
| US9485147B2 (en) | Method and device thereof for automatically finding and configuring virtual network | |
| CN106559292B (zh) | 一种宽带接入方法和装置 | |
| EP2491684B1 (en) | Method and apparatus for transparent cloud computing with a virtualized network infrastructure | |
| US11895092B2 (en) | Network access controller operation | |
| JP6619894B2 (ja) | アクセス制御 | |
| WO2018019299A1 (zh) | 一种虚拟宽带接入方法、控制器和*** | |
| EP3108643B1 (en) | Ipoe dual-stack subscriber for routed residential gateway configuration | |
| JP2008193231A (ja) | 端末所属切換システム | |
| WO2017166936A1 (zh) | 一种实现地址管理的方法、装置、aaa服务器及sdn控制器 | |
| WO2015196755A1 (zh) | 一种身份位置分离网络中的地址分配方法及接入服务节点 | |
| CN114556868B (zh) | 虚拟专用网络vpn客户端的专用子网络 | |
| US20230283589A1 (en) | Synchronizing dynamic host configuration protocol snoop information | |
| EP3108642B1 (en) | Ipoe dual-stack subscriber for bridged residential gateway configuration | |
| JP2004312482A (ja) | ネットワークシステム、網内識別子の設定方法、アクセス認証情報管理装置、そのプログラム、ネットワーク接続点、網内識別子の設定プログラム、及び記録媒体 | |
| CN108123943B (zh) | 信息验证方法及装置 | |
| CN113438333B (zh) | 网络地址分配方法、装置和设备 | |
| CN108306807B (zh) | 开户管理方法及装置 | |
| CN114765601A (zh) | 一种地址前缀获取方法及装置 | |
| US20230006998A1 (en) | Management of private networks over multiple local networks | |
| CN113328942B (zh) | 一种配置下发方法及装置、计算机设备 | |
| US12021699B2 (en) | Software defined access fabric without subnet restriction to a virtual network | |
| US20230269139A1 (en) | Software defined access fabric without subnet restriction to a virtual network | |
| US7912072B1 (en) | Communication with a remote device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |