WO2013056585A1

WO2013056585A1 - 一种虚拟私云接入认证方法及相关装置

Info

Publication number: WO2013056585A1
Application number: PCT/CN2012/079308
Authority: WO
Inventors: 刘颖; 胡士辉; 于德雷
Original assignee: 华为技术有限公司
Priority date: 2011-10-18
Filing date: 2012-07-28
Publication date: 2013-04-25
Also published as: US20140230044A1; EP2760174A4; EP2760174A1; CN103067416A

Abstract

本发明实施例公开了一种虚拟私云接入认证方法及相关装置，用于在使用IP路由协议通信的网络间进行VPC的接入认证。本发明实施例方法包括：VPN路由设备接收云管理器发送的虚拟私云VPC接入虚拟私有网VPN请求，所述VPC接入VPN请求中携带有目标VPN的承载网的标识以及VPN标识；所述VPN路由设备向所述承载网的标识对应的网络边缘设备发送VPC接入请求，所述VPC接入请求中携带有所述VPN标识，使得所述网络边缘设备根据所述VPN标识进行VPC的接入认证。

Description

一种虚拟私云接入认证方法及相关装置本申请要求于 2011年 10月 18日提交中国专利局、申请号为 201110316944.6、发明名称为"一种虚拟私云接入认证方法及相关装置"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域本发明涉及通信领域，尤其涉及一种虚拟私云接入认证方法及相关装置。背景技术随着数据中心的流行，企业不需要再去购买设备，布置自己的信息技术（ IT , Information Technology )中心。企业可以在数据中心里申请一组 IT 资源，为本企业提供云计算的服务， IT资源由数据中心管理。数据中心里的硬件资源以虚拟化设备的形式为企业提供云服务，比如企业申请 N台服务器，数据中心不会物理上划分 N台服务器给企业使用，而是根据用户对服务器的要求，比如中央处理器（ CPU , Central Processing Unit ) ,内存，硬盘大小等要求，在硬件资源中虚拟出 Ν台服务器给企业使用。这些虚拟的服务器，即用户申请的资源，构成一个虚拟私云（ VPC , Virtual Private Cloud )。企业用户希望在数据中心内创建的 VPC能加入自己的虚拟私有网（ VPN , Virtual Private Network )，安全访问 VPC内的资源。承载网运营商需要对 VPC 接入 VPN进行接纳控制，避免 VPC误加入 VPN。比如公司 A的 VPC绑定到公司 B的 VPN中，导致公司 A的信息泄露，存在安全隐患。另一方面， VPN路由信息在未授权的情况下不应该散播到未知站点中。所以 VPC加入 VPN前需要验证其合法性，严格控制路由散播范围。

在现有技术中，美国电气和电子工程师协会（ Institute of Electrical and Electronics Engineers ) IEEE802.1x结合远程用户拨号认证***（ RADIUS , Remote Authentication Dial In User Service )技术可以实现认证、获耳又酉置参数的功能。但是，由于运营商边缘设备（ PE , Provider Edge )网关与数据中心（ Data Center )网关之间是通过因特网（ IP , Internet Protocol )路由协议（即 3层协议）连接的，而 802.1x技术只能应用于以太网协议（即 2层协议），需要进行 VPC接入认证的请求到达 DC网关侧就无法继续传输。发明内容本发明实施例提供了一种虚拟私云接入认证方法及相关装置，用于在使用 IP路由协议通信的网络间进行 VPC的接入认证。

根据本发明的一个方面，一种虚拟私云 VPC接入认证方法，包括：虚拟私有网 VPN路由设备接收云管理器发送的虚拟私云 VPC接入虚拟私有网 VPN请求，所述 VPC接入 VPN请求中携带有目标 VPN的承载网的标识以及 VPN标识；

所述 VPN路由设备向所述承载网的标识对应的网络边缘设备发送 VPC 接入请求，所述 VPC接入请求中携带有所述 VPN标识，使得所述网络边缘设备根据所述 VPN标识进行 VPC的接入认证。

可选地，所述向承载网的标识对应的网络边缘设备发送 VPC接入请求之后，包括：

接收所述网络边缘设备返回的认证响应；

若所述认证响应指示为成功，则提取所述认证响应中携带的 VPN配置参数，并根据所述 VPN配置参数配置 VPN实例；

根据所述认证响应向所述云管理器发送认证结果。

可选地，所述 VPN标识包括：

VPN用户名称；

或， VPN用户名称和密码；

或， VPN名称；

或， VPN名称和密码。

可选地，所述承载网的标识为：网络边缘设备地址，承载网号，承载网名称和目标自治*** AS号中的一个或多个；若所述承载网的标识为网络边缘设备地址，则所述向承载网的标识对应的网络边缘设备发送 VPC接入请求，包括：向网络边缘设备地址对应的网络边缘设备发送 VPC接入请求；

若所述承载网的标识为承载网号，承载网名称或目标 AS号，则所述向承载网的标识对应的网络边缘设备发送 VPC接入请求，包括：根据承载网路由表向所述承载网号、所述承载网名称或所述目标 AS号对应的网络边缘设备发送 VPC接入请求。

可选地，所述根据承载网路由表向所述目标 AS号对应的网络边缘设备发送 VPC接入请求，包括：

根据承载网路由列表的路径确定下一跳的第一网络边缘设备；向所述第一网络边缘设备发送 VPC接入认证请求，所述 VPC接入认证请求还携带有所述目标 AS号；

若所述第一网络边缘设备不是所述目标 AS号对应的网络边缘设备，则所述第一网络边缘设备根据所述承载网路由表确定下一跳的第二网络边缘设备，并继续向所述第二网络边缘设备转发所述 VPC接入认证请求，直至将所述 VPC接入认证请求转发到所述目标 AS号对应的网络边缘设备为止。

根据本发明的另一方面，一种虚拟私云 VPC接入认证方法，包括：云管理器接收 VPC创建请求，所述 VPC创建请求中包括：目标虚拟私有网 VPN的承载网的标识以及 VPN标识；所述云管理器根据所述承载网的标识查找与所述承载网连接的 VPN路由设备；

所述云管理器向所述 VPN路由设备发送 VPC加入 VPN的请求所述 VPC 接入 VPN请求中携带有所述承载网的标识以及 VPN标识，使得所述 VPN路由设备使用所述 VPN标识向所述承载网的标识对应的网络边缘设备发起 VPC接入认证。

可选地，所述向 VPN路由设备发送 VPC加入 VPN的请求之后，包括：接收 VPN路由设备返回的认证结果；

若所述认证结果为成功，则所述云管理器在 VPN路由设备内创建 VPC , 并将所述 VPC和 VPN路由设备上配置的 VPN绑定。

可选地，所述 VPN标识包括：

VPN用户名称；

或， VPN用户名称和密码；

或， VPN名称；

或， VPN名称和密码。

可选地，包括：

虚拟私有网 VPN路由设备接收云管理器发送的 VPC接入 VPN请求，所述 VPC接入 VPN请求中携带有目标 VPN的 VPN标识，所述目标 VPN对应有唯一的网络边缘设备；所述 VPN路由设备向所述网络边缘设备发送 VPC接入请求，所述 VPC 接入请求中携带有所述 VPN标识，使得所述网络边缘设备根据所述 VPN标识进行 VPC的接入认证。

可选地，所述向网络边缘设备发送 VPC接入请求之后，包括：接收所述网络边缘设备返回的认证响应；

根据所述认证响应向所述云管理器发送认证结果。

可选地，所述 VPN标识包括：

VPN用户名称；

或， VPN用户名称和密码；

或， VPN名称；

或， VPN名称和密码。

根据本发明的又一方面，一种虚拟私云接入认证方法，包括：云管理器接收 VPC创建请求，所述 VPC创建请求中包括：目标 VPN的 VPN标识，所述目标 VPN对应有唯一的承载网；

所述云管理器向与所述承载网连接的 VPN路由设备发送 VPC加入 VPN 的请求，所述 VPC接入 VPN请求中携带有所述 VPN标识，使得所述 VPN路由设备使用所述 VPN标识向网络边缘设备发起 VPC接入认证。可选地，所述向 VPN路由设备发送 VPC加入 VPN的请求之后，包括：接收 VPN路由设备返回的认证结果；

若所述认证结果为成功，则云管理器在 VPN路由设备内创建 VPC ,并将所述 VPC和 VPN路由设备上配置的 VPN绑定。

可选地，所述 VPN标识包括：

VPN用户名称；

或， VPN用户名称和密码；

或， VPN名称；

或， VPN名称和密码。

根据本发明的又一方面，一种虚拟私云 VPC接入认证方法，包括：网络边缘设备接收虚拟私有网 VPN路由设备发送的 VPC接入请求，所述 VPC接入请求中携带有目标 VPN的 VPN标识；

所述网络边缘设备向目标 VPN的承载网对应的认证***发送认证请求，所述认证请求中携带有所述 VPN标识，使得所述认证***对所述 VPN 标识进行认证；

若认证成功，则所述网络边缘设备接收所述认证***发送的 VPN配置参数，并向所述 VPN路由设备返回认证响应，所述认证响应中携带有所述 VPN配置参数。

可选地，所述接收认证***发送的 VPN配置参数之后，包括：提取所述 VPN配置参数中的 VPN接入参数；

将所述 VPN接入参数添加到出口路由过滤列表 ORF中，表示可以向所述 VPN路由设备转发所述承载网内的 VPN路由表。

可选地，所述接收认证***发送的 VPN配置参数之后，包括：提取所述 VPN配置参数中的接入带宽参数；

根据所述接入带宽参数进行接入带宽限制的配置。

根据本发明的又一方面，一种虚拟私云 VPC删除方法，包括：虚拟私有网 VPN路由设备接收云管理器发送的 VPC删除请求所述 VPC 删除请求中携带有目标 VPN的承载网的网络边缘设备地址和 VPC标识；所述 VPN路由设备删除所述 VPC标识对应的 VPN实例；

所述 VPN路由设备向所述网络边缘设备地址对应的网络边缘设备发送

VPC删除通知，所述 VPC删除通知中携带有所述 VPC标识，使得所述网络边缘设备通知认证***删除所述 VPC标识对应的相关认证信息。

根据本发明的又一方面，一种虚拟私云 VPC删除方法，包括：云管理器接收第一 VPC删除请求，所述第一 VPC删除请求中携带有 VPC 标识；

所述云管理器根据所述 VPC标识查找目标虚拟私有网 VPN的承载网，并确定与所述承载网连接的 VPN路由设备和网络边缘设备地址；所述云管理器向所述 VPN路由设备发送第二 VPC删除请求，所述第二 VPC删除请求中携带有所述网络边缘设备地址以及所述 VPC标识。

根据本发明的又一方面，一种虚拟私有网 VPN路由设备，包括：第一接收单元，用于接收云管理器发送的虚拟私云 VPC接入虚拟私有网 VPN请求，所述 VPC接入 VPN请求中携带有目标 VPN的承载网的标识以及 VPN标识；

发送单元，用于向所述承载网的标识对应的网络边缘设备发送 VPC接入请求，所述 VPC接入请求中携带有所述 VPN标识，使得所述网络边缘设备根据所述 VPN标识进行 VPC的接入认证。

可选地，所述 VPN路由设备还包括：

第二接收单元，用于接收所述网络边缘设备返回的认证响应；实例配置单元，用于若所述认证响应指示为成功，则提取所述认证响应中携带的 VPN配置参数，并根据所述 VPN配置参数配置 VPN实例；

结果响应单元，用于根据所述认证响应向所述云管理器发送认证结果。根据本发明的又一方面，一种云管理器，包括：

请求接收单元，用于接收虚拟私有云 VPC创建请求，所述 VPC创建请求中包括有：目标虚拟私有网 VPN的承载网的标识以及 VPN标识；

查找单元，用于根据所述承载网的标识查找与所述承载网连接的 VPN 路由设备；请求发送单元，用于向所述 VPN路由设备发送 VPC加入 VPN的请求，所述 VPC接入 VPN请求中携带有所述承载网的标识以及 VPN标识，使得所述 VPN路由设备使用所述 VPN标识向所述承载网的标识对应的网络边缘设备发起 VPC接入认证。

可选地，所述云管理器还包括：

响应接收单元，用于接收 VPN路由设备返回的认证结果；

创建单元，用于若所述认证结果为成功，则所述云管理器在 VPN路由设备内创建 VPC ,并将所述 VPC和 VPN路由设备上配置的 VPN绑定。

根据本发明的又一方面，一种虚拟私有网 VPN路由设备，包括： VPN请求接收单元，用于接收云管理器发送的虚拟私有云 VPC接入

VPN请求所述 VPC接入 VPN请求中携带有目标 VPN的 VPN标识，所述目标

VPN对应有唯一的网络边缘设备；

接入请求发送单元，用于向所述网络边缘设备发送 VPC接入请求，所述 VPC接入请求中携带有所述 VPN标识，使得所述网络边缘设备根据所述

VPN标识进行 VPC的接入认证。

可选地，所述 VPN路由设备还包括：

接收单元，用于接收所述网络边缘设备返回的认证响应；

实例配置单元，用于若所述认证响应指示为成功，则提取所述认证响应中携带的 VPN配置参数，并根据所述 VPN配置参数配置 VPN实例；结果响应单元，用于根据所述认证响应向所述云管理器发送认证结果。根据本发明的又一方面，一种云管理器，包括：

虚拟私有云 VPC请求接收单元，用于接收 VPC创建请求，所述 VPC创建请求中包括有：目标虚拟私有网 VPN的 VPN标识，所述目标 VPN对应有唯一的承载网；

VPN请求发送单元，用于向与所述承载网连接的 VPN路由设备发送 VPC加入 VPN的请求，所述 VPC接入 VPN请求中携带有所述 VPN标识，使得所述 VPN路由设备使用所述 VPN标识向网络边缘设备发起 VPC接入认证。

可选地，所述云管理器还包括：

响应接收单元，用于接收 VPN路由设备返回的认证结果；

根据本发明的又一方面，一种网络边缘设备，包括：

接入请求接收单元，用于接收虚拟私有网 VPN路由设备发送的虚拟私有云 VPC接入请求，所述 VPC接入请求中携带有目标 VPN的 VPN标识；认证请求发送单元，用于向目标 VPN的承载网对应的认证***发送认证请求，所述认证请求中携带有所述 VPN标识，使得所述认证***对所述

VPN标识进行认证；认证响应单元，用于若认证成功，则所述网络边缘设备接收所述认证 ***发送的 VPN配置参数，并向所述 VPN路由设备返回认证响应，所述认证响应中携带有所述 VPN配置参数。

可选地，所述网络边缘设备还包括：

第一配置单元，用于提取所述 VPN配置参数中的 VPN接入参数，将所述 VPN接入参数添加到出口路由过滤列表 ORF中，表示可以向所述 VPN路由设备转发所述承载网内的 VPN路由表；

第二配置单元，用于提取所述 VPN配置参数中的接入带宽参数，根据所述接入带宽参数进行接入带宽限制的配置。

根据本发明的又一方面，一种虚拟私有网 VPN路由设备，包括：删除请求接收单元，用于接收云管理器发送的虚拟私有云 VPC删除请求，所述 VPC删除请求中携带有目标 VPN的承载网的网络边缘设备地址和 VPC标识；

实例删除单元，用于删除所述 VPC标识对应的 VPN实例；

通知发送单元，用于向所述网络边缘设备地址对应的网络边缘设备发送 VPC删除通知，所述 VPC删除通知中携带有所述 VPC标识，使得所述网络边缘设备通知认证***删除所述 VPC标识对应的相关认证信息。

根据本发明的又一方面，一种云管理器，包括：删除接收单元，用于接收第一虚拟私有云 VPC删除请求，所述第一VPC 删除请求中携带有 VPC标识；

目标查找单元，用于根据所述 VPC标识查找目标虚拟私有网 VPN的承载网，并确定与所述承载网连接的 VPN路由设备和网络边缘设备地址；删除请求发送单元，用于向所述 VPN路由设备发送第二 VPC删除请求，所述第二 VPC删除请求中携带有所述网络边缘设备地址以及所述 VPC标识。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明实施例中的 VPN路由设备接收的 VPC接入 VPN请求中携带有目标 VPN的承载网的标识，使得 VPN路由设备可以根据该承载网的标识查找到相应的网络边缘设备（采用 IP路由协议的网络设备）的地址，由此，即可实现 VPC的接入认证跨越 3层网络的通信，从而可以使得该网络边缘设备进行 VPC的接入认证。附图说明图 1是本发明实施例虚拟私云接入认证方法的一个流程示意图；图 2是本发明实施例虚拟私云接入认证方法的另一个流程示意图；图 3是本发明实施例虚拟私云接入认证方法的另一个流程示意图；图 4是本发明实施例虚拟私云接入认证方法的另一个流程示意图；图 5是本发明实施例虚拟私云接入认证方法的另一个流程示意图；图 6是本发明实施例虚拟私云接入认证方法的另一个流程示意图；图 7是本发明实施例虚拟私云删除方法的一个流程示意图；

图 8是本发明实施例虚拟私云删除方法的另一个流程示意图；图 9是本发明实施例 VPN路由设备的一个结构示意图；

图 10是本发明实施例云管理器的一个结构示意图；

图 11是本发明实施例 VPN路由设备的另一个结构示意图；

图 12是本发明实施例云管理器的另一个结构示意图；

图 13是本发明实施例网络边缘设备的一个结构示意图；

图 14是本发明实施例 VPN路由设备的另一个结构示意图；

图 15是本发明实施例云管理器的另一个结构示意图；

图 16是本发明实施例所属的云网络结构图。具体实施方式本发明实施例提供了一种虚拟私云接入认证方法及相关装置，用于在使用 IP路由协议通信的网络间进行 VPC的接入认证。

本发明的实施例应用于云网络***，请参阅图 16 ,云网络***可以包括：云业务平台、云管理器、 VPN路由设备、网络边缘设备以及网络边缘设备对应的认证***。云业务平台用于为用户提供服务界面，接收用户的业务请求；云业务平台将接收到的业务请求发送给云管理器进行处理；而云管理器是负责管理数据中心云资源和网络资源， VPN路由设备数据中心的路由设备，因此云管理器也可以对 VPN路由设备进行控制管理， VPN路由设备的两端分别与云管理器和网络边缘设备相连接。

请参阅图 1 ,是本发明实施例中虚拟私云 VPC接入认证方法的一个实施例。该方法包括：

101、 VPN路由设备接收云管理器发送的 VPC接入 VPN请求；

VPN路由设备接收云管理器发送的 VPC接入 VPN请求，若在数据中心和多个承载网相连，或数据中心和目标 VPN的承载网不是直接相连的场景中，该 VPC接入 VPN请求中携带目标 VPN的承载网的标识以及 VPN标识，所述目标 VPN为 VPC所需要接入的 VPN。

所述 VPN路由设备可以配置 VPN实例，并可在 VPN内执行路由功能；该 VPN路由设备可以为 DC网关、 DC内核心路由器、 DC内核心交换机、或 DC内的服务器；具体实现 VPN路由设备功能的物理设备可以根据情况而定，此处不作限定。

具体的，若需要创建 VPC ,则用户在通过云业务平台向云管理器发送 VPC创建请求时，会为云管理器提供该 VPC所需要接入的 VPN(即目标 VPN ) 的承载网的标识，以及 VPN标识；而云管理器会根据该承载网的标识查找到与该承载网连接的 VPN路由设备，并向 VPN路由设备发送 VPC接入 VPN 请求，使得 VPN路由设备向相应的网络边缘设备发起 VPC的接入认证。 102、 VPN路由设备向承载网的标识对应的网络边缘设备发送 VPC接入请求。

VPN路由设备向所述承载网的标识对应的网络边缘设备发送 VPC接入请求，该 VPC接入请求中携带有所述 VPN标识，使得该网络边缘设备根据 VPN标识进行 VPC的接入认证，所述 VPC接入请求是使用网络协议 IP路由协议封装的数据报文。所述 VPN标识是由用户提供的，为 VPC接入认证的用户信息；具体可以为：

( 1 ) VPN用户名称，或

( 2 ) VPN用户名称和密码，或

( 3 ) VPN名称，或

( 4 ) VPN名称和密码。

由于 VPN标识涉及用户信息，为了保证用户信息的安全，在封装 VPC 接入请求时， VPN路由设备可以使用挑战（ challenge )机制对 VPN标识进行加密。

本发明实施例中的 VPN路由设备接收的 VPC接入 VPN请求中携带有目标 VPN的承载网的标识，使得 VPN路由设备可以根据该承载网的标识查找到相应的网络边缘设备（使用 IP路由协议的网络边缘设备）的地址，由此，即可实现 VPC的接入认证跨越 3层网络的通信，从而可以使得该网络边缘设备进行 VPC的接入认证。

图 2对如何查找到目标 VPN的承载网标识对应的网络边缘设备进行详细地描述，请参阅图 2，本发明实施例中虚拟私云接入认证方法的另一个实施例包括：

201、 VPN路由设备接收云管理器发送的 VPC接入 VPN请求；本实施例中的步骤 201的内容与前述图 1所示的实施例中步骤 101的内容相同，此处不再赘述。 202、 VPN路由设备确认承载网的标识对应的网络边缘设备；

在接收到 VPC接入 VPN请求之后，VPN路由设备提取 VPC接入 VPN 请求中的承载网的标识，并使用该承载网的标识确认需要发送该 VPC接入请求的网络边缘设备。

可选的，所述承载网的标识可以为网络边缘设备地址，所述承载网标识对应的承载网名称，所述承载网标识对应的承载网号或所述承载网标识对应的目标自治***（ AS , Autonomous System )号（一个目标 AS号表示一个自治域）中的一个或多个。

若该承载网的标识为网络边缘设备地址，则该网络边缘设备地址对应的网络边缘设备为需要发送 VPC接入请求的网络边缘设备；所述网络边缘设备地址可以为网络边缘设备的 IP地址；

若该承载网的标识为承载网名称或承载网号，则可以通过 VPN路由设备存储的承载网路由表查找相应的网络边缘设备；具体的， VPN路由设备可以根据所述承载网名称或承载网号在所述承载网路由表上查找到相应的网络边缘设备；

若该承载网的标识为目标 AS号，则也可以通过 VPN路由设备存储的承载网路由表查找相应的网络边缘设备；具体的， VPN路由设备可以根据所述目标 AS号在所述承载网路由表上查找相应的网络边缘设备，具体的，目标 AS号可以是手工配置的，也可以由网络设备自学习得到的。

承载网路由表为各个网络间可到达的网络设备的路由表，可以为手工配置的路由表，比如： <目的网络标识，网络边缘设备 >。该目的网络标识可以为唯一确定一个承载网的标识，比如承载网名称、承载网号、 AS号等中的一个或多个。承载网路由表也可以为自学习的 AS路由表。 AS路由表是在每个自治***边界路由器（ ASBR , Autonomous System Border Router ) 上构造的以 AS为目的的路由。 AS路由表项构造方法可以为：扩展 ASBR 的功能，提取边界网关协议（ BGP , Border Gateway Protocol )路由器发布的自治***路径 AS— PATH ,取出可达网络所属的 AS号，生成到达目标 AS 的 AS路由表项： <目的 AS ,下一跳地址，出接口 >。在承载网路由表上，不同的网络边缘设备分属于不同的承载网，且不同的网络边缘设备分属于不同的自治***中的自治域。因此，根据承载网号，承载网名称和目标 AS 号中的一个或多个可以唯一的确定一个网络边缘设备。 203、 VPN路由设备向所述确定的网络边缘设备发送 VPC接入请求。 VPN路由设备向所述确定的网络边缘设备发送 VPC接入请求，该 VPC 接入请求中携带有所述 VPN标识，使得该网络边缘设备根据所述 VPN标识进行 VPC的接入认证。

可选的，若所述承载网的标识为网络边缘设备地址，则直接向网络边缘设备地址对应的网络边缘设备发送 VPC接入请求；

可选的，若所述承载网的标识为承载网名称，则向根据该承载网名称在所述承载网路由表上查找到的网络边缘设备送 VPC接入请求；

可选地，若该承载网的标识为目标 AS号，则 VPN路由设备查找下一跳的第一网络边缘设备，并向该第一网络边缘设备发送 VPC接入请求，该第一网络边缘设备为到达目标 AS号对应网络边缘设备的路径上，与该 VPN 路由设备连接的网络边缘设备。可选地，该 VPC接入认证请求还可以携带有所述目标 AS号；若所述第一网络边缘设备不是该目标 AS号对应的网络边缘设备，则第一网络边缘设备根据承载网路由表确定下一跳的第二网络边缘设备，并继续向第二网络边缘设备转发该 VPC接入认证请求，直至将该 VPC接入认证请求转发到目标 AS号对应的网络边缘设备为止。该承载网的标识为目标 AS号的场景适用于 VPC接入认证请求跨越多个自治域传输，使得 VPC的接入认证可以跨越多个网络进行。该承载网路由表可以为第一网络边缘设备预配置好的，也可以由第一网络边缘设备自学习承载网路由表。

204、 VPN路由设备接收网络边缘设备返回的认证响应；

VPN路由设备接收所述网络边缘设备返回的认证响应，该认证响应中携带有 VPN配置参数。

可选的， VPN配置参数包括有配置 VPN实例的参数，该配置 VPN实例的参数可以是路由目标参数。可选地，所述 VPN配置参数还可以包括附属参数，所述附属参数可以是访问策略、接入带宽参数和业务优先级参数中的一个或多个。

205、 VPN路由设备根据 VPN配置参数配置 VPN实例；

在接收到网络边缘设备返回的认证响应之后，若所述认证响应指示为认证成功，VPN路由设备提取所述认证响应中携带的 VPN配置参数，并根据该 VPN配置参数配置 VPN实例。具体的，三层 VPN ( L3VPN )的配置可以是： VPN路由设备提取 VPN 配置参数中的路由目标（ RT , Route Target )参数，配置虚拟路由转发（ VRF, Virtual Routing Forwarding )： vpn-instance vpna； vpn-target 111:1 both。二层 VPN ( L2VPN )的配置可以是：提取 RT参数， site id , site range , offset , 配置虚拟交换实例（ VSI , Virtual Switch Instance )b

可选的，若 VPN配置参数中包含有服务质量（ QoS , Quality of Service ) 参数，如果该 QoS参数是接入带宽参数，则 VPN路由设备可以使用该接入带宽参数配置 VPC接入数据中心网关的带宽限制；如果该 QoS参数是业务优先级参数，则 VPN路由设备可以使用该业务优先级参数配置优先级队列的权重和 /或入队列策略。

206、 VPN路由设备根据认证响应向云管理器发送认证结果。

在接收到网络边缘设备返回的认证响应之后， VPN路由设备根据所述认证响应向云管理器发送认证结果。当 VPC的接入认证成功时，可以使得云管理器创建 VPC ,并将该 VPC和 VPN路由设备上配置的 VPN绑定。

图 3是从 VPN路由设备的角度对本发明实施例中的虚拟私云接入认证方法进行了描述，下面从云管理器的角度进行对本发明实施例中的虚拟私云接入认证方法进行描述，请参阅图 3，是本发明实施例中的虚拟私云接入认证方法另一实施例。该方法包括：

301、云管理器接收 VPC创建请求；

云管理器接收 VPC创建请求，该 VPC创建请求中包括：目标 VPN的承载网的标识和 VPN标识中的一个或多个，所述目标 VPN为所述 VPC所需要接入的 VPN。

具体的，若需要创建 VPC ,则用户可以通过云业务平台向云管理器发送 VPC创建请求，该 VPC创建请求中携带有目标 VPN的承载网的标识以及进行 VPC接入认证时需要用到的 VPN标识。

可选的，所述 VPN标识可以为：

( 1 ) VPN用户名称，或

( 2 ) VPN用户名称和密码，或

( 3 ) VPN名称，或

( 4 ) VPN名称和密码。

由于 VPN标识涉及用户信息，为了保证用户信息的安全，在封装 VPC 接入请求时， VPN路由设备可以使用 challenge机制对 VPN标识进行加密。可选的，所述承载网的标识可以为网络边缘设备地址、承载网号、承载网名称和目标 AS号中的一个或多个。

302、云管理器根据承载网的标识查找与承载网连接的 VPN路由设备；在云管理器接收到 VPC创建请求之后，云管理器提取该 VPC创建请求中携带的承载网的标识，根据该承载网的标识查找到与该承载网的标识对应的承载网连接的 VPN路由设备。

云管理器根据承载网的标识可以在云管理器本地存储的承载网路由表上查找到与该承载网的标识对应的承载网连接的 VPN路由设备。具体的，由于在与某一个网络边缘设备连接的路径上，唯一的经过一个 VPN路由设备，因此，云管理器可以根据网络边缘设备地址、承载网号、承载网名称和目标 AS号中的一个或多个唯一的确定一个 VPN路由设备。

303、云管理器向 VPN路由设备发送 VPC加入 VPN的请求；云管理器向上述查找到的 VPN路由设备发送 VPC加入 VPN的请求，该 VPC接入 VPN的请求中携带有目标 VPN的承载网的标识以及 VPN标识， VPN路由设备可以使用该 VPN标识向该承载网的标识对应的网络边缘设备发起 VPC接入认证。

可选的，若该承载网的标识为承载网号，承载网名称和目标 AS号中的一个或多个，则云管理器可以通过该承载网号，承载网名称和目标 AS号中的一个或多个在本地存储的承载网路由表上查找到需要进行接入认证的网络边缘设备，在向 VPN路由设备发送 VPC加入 VPN的请求时，可以直接让 VPC加入 VPN发请求中携带该网络边缘设备的地址。

304、云管理器接收 VPN路由设备返回的认证结果；

云管理器接收 VPN路由设备返回的认证结果，若该认证结果为成功，则云管理器在 VPN路由设备内创建 VPC ,并将该 VPC和 VPN路由设备上配置的 VPN绑定。

在数据中心只直接和目标 VPN的一个承载网相连的场景中，本发明实施例提供了相应的解决方案，请参阅图 4 ,本发明实施例中虚拟私云接入认证方法的另一个实施例包括：

401、 VPN路由设备接收云管理器发送的 VPC接入 VPN请求；

VPN路由设备接收云管理器发送的 VPC接入 VPN请求，在数据中心只直接和目标 VPN的一个承载网相连的场景中，该 VPC接入 VPN请求中携带有目标 VPN的 VPN标识，所述目标 VPN为 VPC所需要接入的 VPN , 该目标 VPN对应有唯一的网络边缘设备。

具体的，若需要创建 VPC ,则用户在通过云业务平台向云管理器发送 VPC创建请求时，在数据中心只直接和目标 VPN的一个承载网相连的场景中，用户会为云管理器提供 VPC标识；而云管理器在接收到 VPC创建请求后，直接向与该承载网连接的 VPN路由设备发送 VPC接入 VPN请求，使得 VPN路由设备向相应的网络边缘设备发起 VPC的接入认证。

402、 VPN路由设备向网络边缘设备发送 VPC接入请求；

VPN路由设备向所述目标 VPN唯一对应的网络边缘设备发送 VPC接入请求，该 VPC接入请求中携带有所述 VPN标识，使得该网络边缘设备根据所述 VPN标识进行 VPC的接入认证，所述 VPC接入请求是使用 IP路由协议封装的数据报文。

所述 VPN标识是由用户提供的，为 VPC接入认证的用户信息。所述 VPN标识可以为：

( 1 ) VPN用户名称，或

( 2 ) VPN用户名称和密码，或

( 3 ) VPN名称，或

( 4 ) VPN名称和密码。

由于 VPN标识涉及用户信息，为了保证用户信息的安全，在封装 VPC 接入请求时， VPN路由设备可以使用 challenge机制对 VPN标识进行加密。

403、 VPN路由设备接收网络边缘设备返回的认证响应；

VPN路由设备接收网络边缘设备返回的认证响应，该认证响应中携带有 VPN配置参数。

可选的， VPN配置参数包括有配置 VPN实例的参数，所述配置 VPN 实例的参数可以是路由目标参数。 VPN配置参数还可以包括附属参数，所述附属参数可以是访问策略、接入带宽参数和业务优先级参数中的一个或多个。

404、 VPN路由设备根据 VPN配置参数配置 VPN实例；

在接收到网络边缘设备返回的认证响应之后，若所述认证响应指示为认真成功，VPN路由设备提取所述认证响应中携带的 VPN配置参数，并根据该 VPN配置参数配置 VPN实例，

可选的，若 VPN配置参数中包含有服务质量（ QoS , Quality of Service ) 参数，如果该 QoS参数为接入带宽参数，则 VPN路由设备可以使用该接入带宽参数配置 VPC接入数据中心网关的带宽限制；如果该 QoS参数为业务优先级参数，则 VPN路由设备可以使用该业务优先级参数配置优先级队列的权重和 /或入队列策略。

405、 VPN路由设备根据认证响应向云管理器发送认证结果。

图 5从云管理器的角度进行对数据中心只直接和目标 VPN的一个承载网相连的场景中的虚拟私云接入认证方法进行描述。请参阅图 5，本发明实施例中的虚拟私云接入认证方法另一实施例包括：

501、云管理器接收 VPC创建请求；

云管理器接收 VPC创建请求，该 VPC创建请求中包括有：目标 VPN 的 VPN标识，所述目标 VPN为 VPC所需要接入的 VPN ,该目标 VPN对应有唯一的承载网。

具体的，若需要创建 VPC ,则用户可以通过云业务平台向云管理器发送 VPC创建请求，该 VPC创建请求中携带有进行 VPC接入认证时需要用到的目标 VPN的 VPN标识。

可选的，所述 VPN标识可以为：

( 1 ) VPN用户名称，或

( 2 ) VPN用户名称和密码，或

( 3 ) VPN名称，或

( 4 ) VPN名称和密码。

由于 VPN标识涉及用户信息，为了保证用户信息的安全，在封装 VPC 接入请求时， VPN路由设备可以使用 challenge机制对 VPN标识进行加密。 502、云管理器向 VPN路由设备发送 VPC加入 VPN的请求；云管理器向与所述承载网连接的 VPN路由设备发送 VPC加入 VPN的请求，该 VPC接入 VPN请求中携带有目标 VPN的 VPN标识， VPN路由设备可以使用该 VPN标识向该承载网的标识对应的网络边缘设备发起 VPC 接入认证。

可选的，若所述 VPN路由设备为 DC网关、 DC内核心路由器或 DC 内核心交换机，则目标 VPN与该 DC网关、或目标 VPN与 DC内核心路由器，或或目标 VPN与 DC内核心交换机的关系是一一对应的（即目标 VPN 与唯一的 VPN路由设备相连接），云管理器可以唯一的查找到与目标 VPN 对应的承载网连接的 VPN路由设备。若所述 VPN路由设备为 DC内的服务器，而该服务器又可以有多台，则云管理器可以根据预配置的策略选择一台或多台服务器作为 VPN路由设备进行发送，预配置的策略可以为负荷均分策略，也可以为负荷限定策略（即在服务器的负荷范围内依次使用各台 iHil )b

503、云管理器接收 VPN路由设备返回的认证结果。

云管理器接收 VPN路由设备返回的认证结果，若该认证结果为认证成功，则云管理器在 VPN路由设备内创建 VPC ,并将该 VPC和 VPN路由设备上配置的 VPN绑定。

图 6从网络边缘设备的角度进行对本发明实施例中的虚拟私云接入认证方法进行描述，请参阅图 6 ,本发明实施例中的虚拟私云接入认证方法另一实施例包括：

601、网络边缘设备接收 VPN路由设备发送的 VPC接入请求；网络边缘设备接收 VPN路由设备发送的 VPC接入请求，该 VPC接入请求中携带有目标 VPN的 VPN标识。

可选的，所述 VPN标识可以为：

( 1 ) VPN用户名称，或

( 2 ) VPN用户名称和密码，或

( 3 ) VPN名称，或

( 4 ) VPN名称和密码。

由于 VPN标识涉及用户信息，为了保证用户信息的安全，在封装 VPC 接入请求时， VPN路由设备可以使用 challenge机制对 VPN标识进行加密。网络边缘设备可以为 ASBR或 PE。

602、网络边缘设备向承载网对应的认证***发送认证请求；

网络边缘设备向目标 VPN的承载网对应的认证***发送认证请求，该认证请求中携带有所述 VPN标识，使得该认证***对该 VPN标识进行认证；所述目标 VPN为 VPC所需要接入的 VPN。

可选的，若本发明实施例中的 VPC接入认证过程需要跨越多个网络进行传输，则在接收 VPN路由设备发送的 VPC接入请求之后，在向目标 VPN 的承载网对应的认证***发送认证请求之前，网络边缘设备可以通过承载网的标识（如：目标 AS号）判断本地是否为所述 VPC接入请求的目标网络边缘设备，若不是，则可以根据承载网路由表确定下一跳的网络边缘设备，并继续向下一跳的第二网络边缘设备转发所述 VPC接入认证请求，直至将所述 VPC接入认证请求转发到目标网络边缘设备为止。具体的，承载网的标识可以通过 VPC接入请求携带，而承载网路由表则可以由网络边缘设备通过自学习得到。

603、网络边缘设备接收认证***发送的 VPN配置参数；

在向目标 VPN的承载网对应的认证***发送认证请求之后，网络边缘设备接收认证***发送的 VPN配置参数。

可选的，在接收认证***发送的 VPN配置参数之后，网络边缘设备提取该 VPN配置参数中的 VPN接入参数，如果该 VPN接入参数是 RT参数，则将该 RT参数添加到出口路由过滤列表ORF , Outbound Route Filtering) 中，表示可以向 VPN路由设备转发所述承载网内的 VPN路由表。

可选的，在接收认证***发送的 VPN配置参数之后，网络边缘设备还可以提取 VPN配置参数中的接入带宽参数，并根据该接入带宽参数进行接入带宽限制的配置。

604、网络边缘设备向 VPN路由设备返回认证响应。

网络边缘设备向 VPN路由设备返回认证响应，该认证响应中携带有所述 VPN配置参数，使得 VPN路由设备可以根据该 VPN配置参数配置 VPN 实例。

图 Ί上面描述了本发明实施例中 VPC接入认证的过程，下面要对本发明实施例中 VPC的删除过程进行描述，请参阅图 7 ,本发明实施例中的虚拟私云删除方法的一实施例包括： 701、 VPN路由设备接收云管理器发送的 VPC删除请求；

VPN路由设备接收云管理器发送的 VPC删除请求，该 VPC删除请求中携带有目标 VPN的承载网的网络边缘设备地址和 VPC标识。

所述 VPN路由设备为可以配置 VPN实例，并可在 VPN内执行路由功能的设备；该 VPN路由设备可以为 DC网关、 DC内核心路由器、 DC内核心交换机、或 DC内的服务器；具体实现 VPN路由设备功能的物理设备可以根据情况而定，此处不作限定。

在本发明实施例中，所述 VPC标识为待删除的 VPC的标识，所述目标 VPN为待删除的 VPC所接入的 VPN。

702、 VPN路由设备删除 VPC标识对应的 VPN实例；

VPN路由设备删除 VPC标识对应的 VPN实例。可选的， VPC标识可以为云管理器分配的一个 VPC号，也可以为 VPN的实例名称。 VPN路由设备根据 VPC标识就可以在本地唯一的查找到 VPC标识对应的 VPN实例。

703、 VPN路由设备向相应的网络边缘设备发送 VPC删除通知。

VPN路由设备向所述网络边缘设备地址对应的网络边缘设备发送 VPC 删除通知，所述 VPC删除通知中携带有所述 VPC标识，使得网络边缘设备通知认证***删除所述 VPC标识对应的相关认证信息；该认证***对应所述承载网。

具体的，在接入认证的过程中，网络边缘设备收到认证请求，发起 RADIUS认证，一个 VPC标识对应一个网络接入系 NAS Network Access System )的端口（ port )号，网络边缘设备会建立 VPC标识和 RADIUS认证的对应关系，即 VPC标识和 NAS port号的对应关系；在删除 VPC的过程中，网络边缘设备可以通知相应的认证***根据 VPC标识删除 VPC对应的接入认证记录。

图 8上面是从 VPN路由设备的角度对本发明实施例中的虚拟私云删除方法进行了描述，下面从云管理器的角度对本发明实施例中的虚拟私云删除方法进行描述，请参阅图 8，本发明实施例中的虚拟私云删除方法的另一实施例包括：

801、云管理器接收 VPC删除请求；

云管理器接收第一 VPC删除请求，该第一 VPC删除请求中携带有 VPC 标识；具体的，该第一 VPC删除请求可以是用户通过云业务平台向云管理器发送的，所述 VPC标识为待删除的 VPC的标识。

802、云管理器根据 VPC标识查找目标 VPN的承载网；

云管理器根据所述 VPC标识查找目标 VPN的承载网，并确定与承载网连接的 VPN路由设备和网络边缘设备地址，该目标 VPN为待删除的 VPC 所接入的 VPN。

由于在认证过程中， VPC和 VPN的相关配置做了绑定，因此，云管理器可以根据 VPC标识查找到目标 VPN的承载网，并查找到与该承载网连接的 VPN路由设备和网络边缘设备地址。

803、云管理器向 VPN路由设备发送第二 VPC删除请求。

云管理器向 VPN路由设备发送第二 VPC删除请求，该第二 VPC删除请求中携带有所述网络边缘设备地址以及 VPC标识，使得 VPN路由设备向该网络边缘设备地址对应的网络边缘设备发送 VPC删除请求，从而在相应承载网的认证***上删除该 VPC的相关配置信息。

下面对用于执行所述虚拟私云接入认证方法的本发明 VPN路由设备的实施例进行说明，其结构请参考图 9 ,本发明实施例中 VPN路由设备的一个实施例包括第一接收单元 901和发送单元 902 ,其中：

所述第一接收单元 901 ,用于接收云管理器发送的虚拟私云 VPC接入虚拟私有网 VPN请求，所述 VPC接入 VPN请求中携带有目标 VPN的承载网的标识以及 VPN标识；

所述发送单元 902，用于向所述承载网的标识对应的网络边缘设备发送 VPC接入请求，所述 VPC接入请求中携带有所述 VPN标识，使得所述网络边缘设备根据所述 VPN标识进行 VPC的接入认证。

可选地，本发明实施例中的 VPN路由设备还可以进一步包括第二接收单元 903、实例配置单元 904和结果响应单元 905 ,其中：

所述第二接收单元 903 ,用于接收所述网络边缘设备返回的认证响应；所述实例配置单元 904，用于若所述认证响应指示为成功，则提取所述认证响应中携带的 VPN配置参数，并根据所述 VPN配置参数配置 VPN实例；

所述结果响应单元 905，用于根据所述认证响应向云管理器发送认证结本发明实施例 VPN路由设备中各个单元具体的操作过程如下：所述第一接收单元 901接收云管理器发送的 VPC接入 VPN请求，若在数据中心和多个承载网相连，或数据中心和目标 VPN的承载网不是直接相连的场景中，该 VPC接入 VPN请求中携带目标 VPN的承载网的标识以及 VPN标识，所述目标 VPN为 VPC所需要接入的 VPN。

具体的，若需要创建 VPC ,则用户在通过云业务平台向云管理器发送 VPC创建请求时，会为云管理器提供该 VPC所需要接入的 VPN (即目标 VPN )的承载网的标识，以及 VPN标识；而云管理器会根据该承载网的标识查找到与该承载网连接的 VPN路由设备，并向 VPN路由设备发送 VPC 接入 VPN请求，使得 VPN路由设备向相应的网络边缘设备发起 VPC的接入认证。

在接收到 VPC接入 VPN请求之后，发送单元 902向所述承载网的标识对应的网络边缘设备发送 VPC接入请求，该 VPC接入请求中携带有所述 VPN标识，使得该网络边缘设备根据 VPN标识进行 VPC的接入认证，所述 VPC接入请求是使用 IP路由协议封装的数据报文。

可选的，所述承载网的标识可以为网络边缘设备地址、承载网号、承载网名称和目标 AS号中的一个或多个，其中一个目标 AS号表示一个自治域。

若该承载网的标识为网络边缘设备地址，则确认该网络边缘设备地址对应的网络边缘设备为需要发送 VPC接入请求的网络边缘设备，并直接向网络边缘设备地址对应的网络边缘设备发送 VPC接入请求；该网络边缘设备地址可以是该网络边缘设备的 IP地址；

若该承载网的标识为承载网名称或承载网号，则可以通过 VPN路由设备存储的承载网路由表查找相应的网络边缘设备，由所述发送单元 902 向在所述承载网路由表上查找到的网络边缘设备送 VPC接入请求；

若该承载网的标识为目标 AS号，则也可以通过 VPN路由设备存储的承载网路由表查找相应的网络边缘设备；具体的， VPN路由设备可以根据所述目标 AS号在所述承载网路由表上查找相应的网络边缘设备，并由所述发送单元 902查找下一跳的第一网络边缘设备，向该第一网络边缘设备发送 VPC接入请求，该第一网络边缘设备为到达目标 AS号对应网络边缘设备的路径上，与所述 VPN路由设备连接的网络边缘设备，该 VPC接入认证请求还携带有所述目标 AS号；若所述第一网络边缘设备不是该目标 AS 号对应的网络边缘设备，则第一网络边缘设备根据承载网路由表确定下一跳的第二网络边缘设备，并继续向第二网络边缘设备转发该 VPC接入认证请求，直至将该 VPC接入认证请求转发到目标 AS号对应的网络边缘设备为止；该承载网路由表可以为第一网络边缘设备预配置好的，也可以由第一网络边缘设备自学习承载网路由表。

承载网路由表为各个网络间可到达的网络设备的路由表，可以为手工配置的路由表，如： <目的网络标识，网络边缘设备 > ,该目的网络标识可以为唯一确定一个承载网的标识，比如承载网名称、承载网号、 AS号等中的一个或多个；承载网路由表也可以为自学习的 AS路由表； AS路由表是以每个 ASBR上构造以 AS为目的的路由。 AS路由表项构造方法可以为：扩展 ASBR的功能，提取 BGP路由发布的 AS— PATH ,取出可达网络所属的 AS号，生成到目标 AS的 AS路由表项： <目的 AS ,下一跳地址，出接口>。在承载网路由表上，不同的网络边缘设备分属于不同的承载网，且不同的网络边缘设备分属于不同的自治***中的自治域。因此，根据承载网号，承载网名称和目标 AS号中的一个或多个可以唯一的确定一个网络边缘设备。

( 1 ) VPN用户名称，或

( 2 ) VPN用户名称和密码，或

( 3 ) VPN名称，或

( 4 ) VPN名称和密码。

由于 VPN标识涉及用户信息，为了保证用户信息的安全，在封装 VPC 接入请求时，可以使用 challenge机制对 VPN标识进行加密。

在向网络边缘设备发送 VPC接入请求之后，所述第二接收单元 903接收网络边缘设备返回的认证响应，该认证响应中携带有 VPN配置参数。

可选的， VPN配置参数包括有配置 VPN实例的参数，该配置 VPN实例的参数可以是路由目标参数。 VPN配置参数还可以包括附属参数，该附属参数可以是访问策略、接入带宽参数和业务优先级参数中的一个或多个。

在接收到网络边缘设备返回的认证响应之后，若所述认证响应指示为成功，所述实例配置单元 904提取所述认证响应中携带的 VPN配置参数，并根据该 VPN配置参数配置 VPN实例，

具体的，三层 VPN ( L3VPN )的配置可以是： VPN路由设备提取 VPN 配置参数中的路由目标（ RT , Route Target )参数，配置虚拟路由转发（ VRF, Virtual Routing Forwarding )： vpn-instance vpna； vpn-target 111:1 both。二层 VPN ( L2VPN )的配置可以是：提取 RT参数， site id , site range , offset , 配置虚拟交换实例（ VSI , Virtual Switch Instance )b

可选的，若 VPN配置参数中包含有服务质量（ QoS , Quality of Service ) 参数，如果该 QoS参数是接入带宽参数，则 VPN路由设备可以使用该接入带宽参数配置 VPC接入数据中心网关的带宽限制；如果该 QoS参数是业务优先级参数，则 VPN路由设备可以使用该业务优先级参数配置优先级队列的权重和入队列策略中的一个或多个。

在接收到网络边缘设备返回的认证响应之后，还可以由所述结果响应单元 905根据所述认证响应向云管理器发送认证结果。当 VPC的接入认证成功时，可以使得云管理器创建 VPC ,并将该 VPC和 VPN路由设备上配置的 VPN绑定。

下面对用于执行所述虚拟私云接入认证方法的本发明云管理器的实施例进行说明，其结构请参考图 10 ,本发明实施例中云管理器的一个实施例包括请求接收单元 1001、查找单元 1002和请求发送单元 1003 ,其中：所述请求接收单元 1001 ,用于接收 VPC创建请求，所述 VPC创建请求中包括有：目标 VPN的承载网的标识以及 VPN标识；

所述查找单元 1002 ,用于根据所述承载网的标识查找与所述承载网连接的 VPN路由设备；

所述请求发送单元 1003用于向所述 VPN路由设备发送 VPC加入 VPN 的请求，所述 VPC接入 VPN请求中携带有所述承载网的标识以及 VPN标识，使得所述 VPN路由设备使用所述 VPN标识向所述承载网的标识对应的网络边缘设备发起 VPC接入认证。

可选地，本发明实施例中的云管理器还可以进一步包括响应接收单元 1004和创建单元 1005 ,其中：

所述响应接收单元 1004 ,用于接收 VPN路由设备返回的认证结果；所述创建单元 1005 ,用于若所述认证结果为成功，则所述云管理器在 VPN路由设备内创建 VPC ,并将所述 VPC和 VPN路由设备上配置的 VPN 绑定。

本发明实施例云管理器中各个单元具体的操作过程如下：

所述请求接收单元 1001接收 VPC创建请求，该 VPC创建请求中包括有：目标 VPN的承载网的标识以及 VPN标识，所述目标 VPN为 VPC所需要接入的 VPN。

若需要创建 VPC，则用户可以通过云业务平台向云管理器发送 VPC创建请求，该 VPC创建请求中携带有目标 VPN的承载网的标识以及进行 VPC 接入认证时需要用到的 VPN标识。

可选的，所述 VPN标识可以为：

( 1 ) VPN用户名称，或

( 2 ) VPN用户名称和密码，或

( 3 ) VPN名称，或

( 4 ) VPN名称和密码。

可选的，所述承载网的标识可以为网络边缘设备地址，承载网号，承载网名称和目标 AS号中的一个或多个。

在接收到 VPC创建请求之后，所述查找单元 1002提取该 VPC创建请求中携带的承载网的标识，根据该承载网的标识查找到与该承载网连接的 VPN路由设备。具体的，由于在与某一个网络边缘设备连接的路径上，唯一的经过一个 VPN路由设备，因此，所述查找单元 1002可以根据网络边缘设备地址、承载网号、承载网名称和目标 AS号中的一个或多个唯一的确定一个 VPN路由设备。

在确定了 VPN路由设备之后，所述请求发送单元 1003向所述查找到的 VPN路由设备发送 VPC加入 VPN的请求，该 VPC接入 VPN请求中携带有目标 VPN的承载网的标识以及 VPN标识，使得 VPN路由设备使用该 VPN标识向该承载网的标识对应的网络边缘设备发起 VPC接入认证。

可选的，若该承载网的标识为承载网号，承载网名称或目标 AS号中的一个或多个，则云管理器可以通过该承载网号，承载网名称或目标 AS号中的一个或多个在该云管理器本地存储的承载网路由表上查找到需要进行接入认证的网络边缘设备，在向 VPN路由设备发送 VPC加入 VPN的请求时，可以直接让 VPC加入 VPN的请求携带该网络边缘设备的地址。该网络边缘设备的地址可以是该网络边缘设备的 IP地址。

在向 VPN路由设备发送 VPC加入 VPN的请求之后，所述响应接收单元 1004接收 VPN路由设备返回的认证结果，若该认证结果为成功，则所述创建单元 1005在 VPN路由设备内创建 VPC ,并将该 VPC和 VPN路由设备上配置的 VPN绑定。

图 11 中对数据中心只直接和目标 VPN的一个承载网相连的场景的本发明 VPN路由设备的实施例进行说明，其结构请参考图 11 ，本发明实施例中 VPN路由设备的另一个实施例包括 VPN请求接收单元 1101和接入请求发送单元 1102 ,其中：

所述 VPN请求接收单元 1101 用于接收云管理器发送的 VPC接入 VPN 请求所述 VPC接入 VPN请求中携带有目标 VPN的 VPN标识，所述目标 VPN对应有唯一的网络边缘设备；

所述接入请求发送单元 1102，用于向所述网络边缘设备发送 VPC接入请求，所述 VPC接入请求中携带有所述 VPN标识，使得所述网络边缘设备根据所述 VPN标识进行 VPC的接入认证。

可选地，本发明实施例中的 VPN路由设备还可以进一步包括接收单元 1103、实例配置单元 1104和结果响应单元 1105 ,其中：

所述接收单元 1103 ,用于接收所述网络边缘设备返回的认证响应；所述实例配置单元 1104 ,用于若所述认证响应指示为成功，则提取所述认证响应中携带的 VPN配置参数，并根据所述 VPN配置参数配置 VPN 实例；

所述结果响应单元 1105 ,用于根据所述认证响应向云管理器发送认证结果。

本发明实施例 VPN路由设备中各个单元具体的操作过程如下：所述 VPN请求接收单元 1101接收云管理器发送的 VPC接入 VPN请求，在数据中心只直接和目标 VPN 的一个承载网相连的场景中，该 VPC 接入 VPN请求中携带有目标 VPN的 VPN标识，所述目标 VPN为 VPC所需要接入的 VPN ,该目标 VPN对应有唯一的网络边缘设备。

在接收到 VPC接入 VPN请求之后，所述接入请求发送单元 1102向所述目标 VPN唯一对应的网络边缘设备发送 VPC接入请求，该 VPC接入请求中携带有所述 VPN标识，使得该网络边缘设备根据 VPN标识进行 VPC 的接入认证，所述 VPC接入请求是使用 IP路由协议封装的数据报文。

在发送了 VPC接入请求之后，所述接收单元 1103接收网络边缘设备返回的认证响应，该认证响应中携带有 VPN配置参数；若所述认证响应指示为认证成功，则由所述实例配置单元 1104 提取所述认证响应中携带的 VPN配置参数，并根据该 VPN配置参数配置 VPN实例。并且，还可以由所述结果响应单元 1105 根据所述认证响应向云管理器发送认证结果。当 VPC的接入认证成功时，可以使得云管理器创建 VPC，并将该 VPC和 VPN 路由设备上配置的 VPN绑定。

图 12对数据中心只直接和目标 VPN的一个承载网相连的场景的本发明云管理器的实施例进行说明，其结构请参考图 12 ,本发明实施例中云管理器的另一个实施例包括 VPC请求接收单元 1201 和 VPN请求发送单元 1202 ,其中：

所述 VPC请求接收单元 1201 ,用于接收 VPC创建请求，所述 VPC创建请求中包括有：目标 VPN的 VPN标识，所述目标 VPN对应有唯一的承载网；

所述 VPN请求发送单元 1202 ,用于向与所述承载网连接的 VPN路由设备发送 VPC加入 VPN的请求， VPC接入 VPN请求中携带有所述 VPN 标识，使得所述 VPN路由设备使用所述 VPN标识向网络边缘设备发起 VPC 接入认证。

可选地，本发明实施例中的云管理器还可以进一步包括响应接收单元

1203和创建单元 1204，其中：

所述响应接收单元 1203 ,用于接收 VPN路由设备返回的认证结果；所述创建单元 1204 ,用于若所述认证结果为成功，则所述云管理器在

VPN路由设备内创建 VPC ,并将所述 VPC和 VPN路由设备上配置的 VPN 绑定。

本发明实施例云管理器中各个单元具体的操作过程如下：

所述 VPC请求接收单元 1201接收 VPC创建请求，该 VPC创建请求中包括有：目标 VPN的 VPN标识所述目标 VPN为 VPC所需要接入的 VPN , 该目标 VPN对应有唯一的承载网。

可选的，所述 VPN标识可以为：

( 1 ) VPN用户名称，或

( 2 ) VPN用户名称和密码，或

( 3 ) VPN名称，或

( 4 ) VPN名称和密码。

在接收到 VPC创建请求之后，所述 VPN请求发送单元 1202向与所述承载网连接的 VPN路由设备发送 VPC加入 VPN的请求，该 VPC接入 VPN 请求中携带有目标 VPN的 VPN标识，使得 VPN路由设备使用该 VPN标识向该承载网的标识对应的网络边缘设备发起 VPC接入认证。

在发送 VPC加入 VPN的请求之后，所述响应接收单元 1203接收 VPN 路由设备返回的认证结果，若该认证结果为成功，则所述创建单元 1204在 VPN路由设备内创建 VPC ,并将该 VPC和 VPN路由设备上配置的 VPN 绑定。

图 13对用于执行所述虚拟私云接入认证方法的本发明网络边缘设备的实施例进行说明，其结构请参考图 13 ,本发明实施例中网络边缘设备的一个实施例包括接入请求接收单元 1301、认证请求发送单元 1302和认证响应单元 1303 ,其中：

所述接入请求接收单元 1301 ,用于接收 VPN路由设备发送的 VPC接入请求，所述 VPC接入请求中携带有目标 VPN的 VPN标识；

所述认证请求发送单元 1302，用于向目标 VPN的承载网对应的认证系统发送认证请求，所述认证请求中携带有所述 VPN标识，使得所述认证系统对所述 VPN标识进行认证；

所述认证响应单元 1303 ,用于若认证成功，则所述网络边缘设备接收所述认证***发送的 VPN配置参数，并向所述 VPN路由设备返回认证响应，所述认证响应中携带有所述 VPN配置参数。

可选地，本发明实施例中的网络边缘设备还可以进一步包括第一配置单元 1304和第二配置单元 1305 ,其中：所述第一配置单元 1304 ,用于提取所述 VPN配置参数中的 VPN接入参数，将所述 VPN接入参数添加到出口路由过滤列表 ORF中，表示可以向所述 VPN路由设备转发所述承载网内的 VPN路由表；

所述第二配置单元 1305，用于提取所述 VPN配置参数中的接入带宽参数，根据所述接入带宽参数进行接入带宽限制的配置。

本发明实施例网络边缘设备中各个单元具体的操作过程如下：所述接入请求接收单元 1301接收 VPN路由设备发送的 VPC接入请求，该 VPC接入请求中携带有目标 VPN的 VPN标识。

可选的，所述 VPN标识可以为：

( 1 ) VPN用户名称，或

( 2 ) VPN用户名称和密码，或

( 3 ) VPN名称，或

( 4 ) VPN名称和密码。

所述认证请求发送单元 1302向目标 VPN的承载网对应的认证***发送认证请求，该认证请求中携带有所述 VPN标识，使得该认证***对该 VPN标识进行认证；所述目标 VPN为 VPC所需要接入的 VPN。

可选的，若本发明实施例中的 VPC接入认证过程需要跨越多个网络进行传输，则在接收 VPN路由设备发送的 VPC接入请求之后，在向目标 VPN 的承载网对应的认证***发送认证请求之前，网络边缘设备需要通过承载网的标识（如：目标 AS号）判断本地是否为所述 VPC接入请求的目标网络边缘设备，若不是，则根据承载网路由表确定下一跳的网络边缘设备，并继续向下一跳的第二网络边缘设备转发所述 VPC接入认证请求，直至将所述 VPC接入认证请求转发到目标网络边缘设备为止。具体的，承载网的标识可以通过 VPC接入请求携带，而承载网路由表则由网络边缘设备通过自学习得到。

在向目标 VPN的承载网对应的认证***发送认证请求之后，若认证成功，则所述认证响应单元 1303接收认证***发送的 VPN配置参数。

可选的，在接收认证***发送的 VPN配置参数之后，所述第一配置单元 1304可以提取该 VPN配置参数中的 VPN接入参数，例如 RT参数，并将该 RT参数添加到出口路由过滤列表ORF , Outbound Route Filtering)中，表示可以向 VPN路由设备转发所述承载网内的 VPN路由表。

可选的，在接收认证***发送的 VPN配置参数之后，所述第二配置单元 1305还可以提取 VPN配置参数中的接入带宽参数，并根据该接入带宽参数进行接入带宽限制的配置。

图 14对用于执行所述虚拟私云删除方法的本发明 VPN路由设备的实施例进行说明，其结构请参考图 14 ,本发明实施例中 VPN路由设备的另一个实施例包括删除请求接收单元 1401、实例删除单元 1402和通知发送单元 1403 ,其中：

所述删除请求接收单元 1401用于接收云管理器发送的 VPC删除请求，所述 VPC 删除请求中携带有目标 VPN 的承载网的网络边缘设备地址和 VPC标识；

所述实例删除单元 1402 ,用于删除所述 VPC标识对应的 VPN实例；所述通知发送单元 1403 ,用于向所述网络边缘设备地址对应的网络边缘设备发送 VPC删除通知，所述 VPC删除通知中携带有所述 VPC标识，使得所述网络边缘设备通知认证***删除所述 VPC标识对应的相关认证信本发明实施例 VPN路由设备中各个单元具体的操作过程如下：所述删除请求接收单元 1401接收云管理器发送的 VPC删除请求，该

VPC删除请求中携带有目标 VPN的承载网的网络边缘设备地址和 VPC标 in

在接收到了 VPC删除请求之后，所述实例删除单元 1402删除 VPC标识对应的 VPN实例。可选的， VPC标识可以为云管理器分配的一个 VPC 号，也可以为 VPN的实例名称； VPN路由设备根据 VPC标识就可以在本地唯一的查找到 VPC标识对应的 VPN实例。

在接收到了 VPC删除请求之后，所述通知发送单元 1403 向所述网络边缘设备地址对应的网络边缘设备发送 VPC删除通知所述 VPC删除通知中携带有所述 VPC标识，使得网络边缘设备通知认证***删除 VPC标识对应的相关认证信息；该认证***为所述承载网所对应。

具体的，在接入认证的过程中，网络边缘设备收到认证请求，发起 RADIUS认证，一个 VPC认证对应一个网络接入系 NAS Network Access System )的端口（ port )号，网络边缘设备会建立 VPC标识和 RADIUS认证的对应关系，即 VPC标识和 NAS port号的对应关系；在删除 VPC的过程中，网络边缘设备可以通知相应的认证***根据 VPC标识删除 VPC对应的接入认证记录。

下面对用于执行所述虚拟私云删除方法的本发明云管理器的实施例进行说明，其结构请参考图 15 ,本发明实施例中云管理器的另一个实施例包括删除接收单元 1501、目标查找单元 1502和删除请求发送单元 1503 ,其中：

所述删除接收单元 1501，用于接收第一 VPC删除请求，所述第一 VPC 删除请求中携带有 VPC标识；

所述目标查找单元 1502 ,用于根据所述 VPC标识查找目标 VPN的承载网，并确定与所述承载网连接的 VPN路由设备和网络边缘设备地址；所述删除请求发送单元 1503用于向所述 VPN路由设备发送第二 VPC 删除请求，所述第二 VPC删除请求中携带有所述网络边缘设备地址以及所述 VPC标识。

本发明实施例云管理器中各个单元具体的操作过程如下：

所述删除接收单元 1501接收第一 VPC删除请求，该第一 VPC删除请求中携带有 VPC标识；具体的，该第一 VPC删除请求可以是用户通过云业务平台向云管理器发送的，VPC标识为待删除的 VPC的标识。所述目标查找单元 1502根据所述 VPC标识查找目标 VPN的承载网，并确定与承载网连接的 VPN路由设备和网络边缘设备地址，该目标 VPN为待删除的 VPC 所接入的 VPN。

在确定了与承载网连接的 VPN路由设备和网络边缘设备地址之后，所述删除请求发送单元 1503向 VPN路由设备发送第二 VPC删除请求，该第二 VPC删除请求中携带有所述网络边缘设备地址以及 VPC标识，使得 VPN 路由设备向该网络边缘设备地址对应的网络边缘设备发送 VPC删除请求，从而在相应承载网的认证***上删除该 VPC的相关配置信息。

在本申请所提供的几个实施例中，应该理解到，所掲露的装置和方法可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个 ***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。所述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括： U盘、移动硬盘、只读存储 ROM , Read-Only Memory 随机存耳又存储器 ( RAM , Random Access Memory 磁碟或者光盘等各种可以存储程序代码的介质。以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明掲露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims

权利要求

1、一种虚拟私云 VPC接入认证方法，其特征在于，包括：

虚拟私有网 VPN路由设备接收云管理器发送的虚拟私云 VPC接入虚拟私有网 VPN请求，所述 VPC接入 VPN请求中携带有目标 VPN的承载网的标识以及 VPN标识；

2、根据权利要求 1所述的方法，其特征在于，所述向承载网的标识对应的网络边缘设备发送 VPC接入请求之后，包括：

接收所述网络边缘设备返回的认证响应；

根据所述认证响应向所述云管理器发送认证结果。

3、根据权利要求 1或 2所述的方法，其特征在于，所述 VPN标识包括：

VPN用户名称；

或， VPN用户名称和密码；

或， VPN名称；

或， VPN名称和密码。

4、根据权利要求 1-3中任一所述的方法，其特征在于，

所述承载网的标识为：网络边缘设备地址，承载网号，承载网名称和目标自治*** AS号中的一个或多个；

若所述承载网的标识为网络边缘设备地址，则所述向承载网的标识对应的网络边缘设备发送 VPC接入请求，包括：向网络边缘设备地址对应的网络边缘设备发送 VPC接入请求；

5、根据权利要求 4所述的方法，其特征在于，所述根据承载网路由表向所述目标 AS号对应的网络边缘设备发送 VPC接入请求，包括：

根据承载网路由列表的路径确定下一跳的第一网络边缘设备；向所述第一网络边缘设备发送 VPC接入认证请求 ,所述 VPC接入认证请求还携带有所述目标 AS号；

6、一种虚拟私云 VPC接入认证方法，其特征在于，包括：

云管理器接收 VPC创建请求，所述 VPC创建请求中包括：目标虚拟私有网 VPN的承载网的标识以及 VPN标识；

所述云管理器根据所述承载网的标识查找与所述承载网连接的 VPN路由设备；

所述云管理器向所述 VPN路由设备发送 VPC加入 VPN的请求，所述 VPC接入 VPN请求中携带有所述承载网的标识以及 VPN标识，使得所述 VPN路由设备使用所述 VPN标识向所述承载网的标识对应的网络边缘设备发起 VPC接入认证。

7、根据权利要求 6所述的方法，其特征在于，所述向 VPN路由设备发送 VPC加入 VPN的请求之后，包括：

接收 VPN路由设备返回的认证结果；

若所述认证结果为成功，则所述云管理器在 VPN路由设备内创建 VPC，并将所述 VPC和 VPN路由设备上配置的 VPN绑定。

8、根据权利要求 6或 7所述的方法，其特征在于，所述 VPN标识包括：

VPN用户名称；

或， VPN用户名称和密码；

或， VPN名称；

或， VPN名称和密码。

9、一种虚拟私云 VPC接入认证方法，其特征在于，包括：虚拟私有网 VPN路由设备接收云管理器发送的 VPC接入 VPN请求，所述 VPC接入 VPN请求中携带有目标 VPN的 VPN标识，所述目标 VPN 对应有唯一的网络边缘设备；

所述 VPN路由设备向所述网络边缘设备发送 VPC接入请求，所述 VPC 接入请求中携带有所述 VPN标识，使得所述网络边缘设备根据所述 VPN 标识进行 VPC的接入认证。

10、根据权利要求 9所述的方法，其特征在于，所述向网络边缘设备发送 VPC接入请求之后，包括：

接收所述网络边缘设备返回的认证响应；

根据所述认证响应向所述云管理器发送认证结果。

11、根据权利要求 9或 10所述的方法，其特征在于，所述 VPN标识包括：

VPN用户名称；

或， VPN用户名称和密码；

或， VPN名称；

或， VPN名称和密码。

12、一种虚拟私云接入认证方法，其特征在于，包括：

云管理器接收 VPC创建请求，所述 VPC创建请求中包括：目标 VPN 的 VPN标识 , 所述目标 VPN对应有唯一的承载网；

所述云管理器向与所述承载网连接的 VPN路由设备发送 VPC加入 VPN的请求，所述 VPC接入 VPN请求中携带有所述 VPN标识，使得所述 VPN路由设备使用所述 VPN标识向网络边缘设备发起 VPC接入认证。

13、根据权利要求 12所述的方法，其特征在于，所述向 VPN路由设备发送 VPC加入 VPN的请求之后，包括：

接收 VPN路由设备返回的认证结果；

若所述认证结果为成功，则云管理器在 VPN路由设备内创建 VPC, 并将所述 VPC和 VPN路由设备上配置的 VPN绑定。

14、根据权利要求 12或 13所述的方法，其特征在于，所述 VPN标识包括： VPN用户名称；

或， VPN用户名称和密码；

或， VPN名称；

或， VPN名称和密码。

15、一种虚拟私云 VPC接入认证方法，其特征在于，包括：

网络边缘设备接收虚拟私有网 VPN路由设备发送的 VPC接入请求，所述 VPC接入请求中携带有目标 VPN的 VPN标识；

所述网络边缘设备向目标 VPN 的承载网对应的认证***发送认证请求，所述认证请求中携带有所述 VPN标识，使得所述认证***对所述 VPN 标识进行认证；

16、根据权利要求 15所述的方法，其特征在于，所述接收认证***发送的 VPN配置参数之后，包括：

提取所述 VPN配置参数中的 VPN接入参数；

17、根据权利要求 15或 16所述的方法，其特征在于，所述接收认证 ***发送的 VPN配置参数之后，包括：

提取所述 VPN配置参数中的接入带宽参数；

根据所述接入带宽参数进行接入带宽限制的配置。

18、一种虚拟私云 VPC删除方法，其特征在于，包括：

虚拟私有网 VPN路由设备接收云管理器发送的 VPC删除请求，所述 VPC删除请求中携带有目标 VPN的承载网的网络边缘设备地址和 VPC标识；

所述 VPN路由设备删除所述 VPC标识对应的 VPN实例；

所述 VPN路由设备向所述网络边缘设备地址对应的网络边缘设备发送 VPC删除通知，所述 VPC删除通知中携带有所述 VPC标识，使得所述网络边缘设备通知认证***删除所述 VPC标识对应的相关认证信息。

19、一种虚拟私云 VPC删除方法，其特征在于，包括：云管理器接收第一 VPC删除请求，所述第一 VPC删除请求中携带有 VPC标识；

所述云管理器根据所述 VPC标识查找目标虚拟私有网 VPN的承载网，并确定与所述承载网连接的 VPN路由设备和网络边缘设备地址；

所述云管理器向所述 VPN路由设备发送第二 VPC删除请求，所述第二 VPC删除请求中携带有所述网络边缘设备地址以及所述 VPC标识。

20、一种虚拟私有网 VPN路由设备，其特征在于，包括：

第一接收单元，用于接收云管理器发送的虚拟私云 VPC接入虚拟私有网 VPN请求，所述 VPC接入 VPN请求中携带有目标 VPN的承载网的标识以及 VPN标识；

21、根据权利要求 20所述的 VPN路由设备，其特征在于，所述 VPN 路由设备还包括：

第二接收单元，用于接收所述网络边缘设备返回的认证响应；实例配置单元，用于若所述认证响应指示为成功，则提取所述认证响应中携带的 VPN配置参数，并根据所述 VPN配置参数配置 VPN实例；结果响应单元，用于根据所述认证响应向所述云管理器发送认证结果。

22、一种云管理器，其特征在于，包括：

查找单元，用于根据所述承载网的标识查找与所述承载网连接的 VPN 路由设备；

请求发送单元，用于向所述 VPN路由设备发送 VPC加入 VPN的请求，所述 VPC接入 VPN请求中携带有所述承载网的标识以及 VPN标识，使得所述 VPN路由设备使用所述 VPN标识向所述承载网的标识对应的网络边缘设备发起 VPC接入认证。

23、根据权利要求 22所述的云管理器，其特征在于，所述云管理器还包括：

响应接收单元，用于接收 VPN路由设备返回的认证结果；创建单元，用于若所述认证结果为成功，则所述云管理器在 VPN路由设备内创建 VPC, 并将所述 VPC和 VPN路由设备上配置的 VPN绑定。

24、一种虚拟私有网 VPN路由设备，其特征在于，包括：

VPN请求接收单元，用于接收云管理器发送的虚拟私有云 VPC接入 VPN请求所述 VPC接入 VPN请求中携带有目标 VPN的 VPN标识，所述目标 VPN对应有唯一的网络边缘设备；

接入请求发送单元，用于向所述网络边缘设备发送 VPC接入请求，所述 VPC接入请求中携带有所述 VPN标识，使得所述网络边缘设备根据所述 VPN标识进行 VPC的接入认证。

25、根据权利要求 24所述的 VPN路由设备，其特征在于，所述 VPN 路由设备还包括：

接收单元，用于接收所述网络边缘设备返回的认证响应；

实例配置单元，用于若所述认证响应指示为成功，则提取所述认证响应中携带的 VPN配置参数，并根据所述 VPN配置参数配置 VPN实例；结果响应单元，用于根据所述认证响应向所述云管理器发送认证结果。

26、一种云管理器，其特征在于，包括：

虚拟私有云 VPC请求接收单元，用于接收 VPC创建请求，所述 VPC 创建请求中包括有：目标虚拟私有网 VPN的 VPN标识，所述目标 VPN对应有唯一的承载网；

VPN请求发送单元，用于向与所述承载网连接的 VPN路由设备发送 VPC加入 VPN的请求 ,所述 VPC接入 VPN请求中携带有所述 VPN标识 , 使得所述 VPN路由设备使用所述 VPN标识向网络边缘设备发起 VPC接入认证。

27、根据权利要求 26所述的云管理器，其特征在于，所述云管理器还包括：

响应接收单元，用于接收 VPN路由设备返回的认证结果；

创建单元，用于若所述认证结果为成功，则所述云管理器在 VPN路由设备内创建 VPC, 并将所述 VPC和 VPN路由设备上配置的 VPN绑定。

28、一种网络边缘设备，其特征在于，包括：

接入请求接收单元，用于接收虚拟私有网 VPN路由设备发送的虚拟私有云 VPC接入请求，所述 VPC接入请求中携带有目标 VPN的 VPN标识；认证请求发送单元，用于向目标 VPN的承载网对应的认证***发送认证请求，所述认证请求中携带有所述 VPN标识，使得所述认证***对所述 VPN标识进行认证；

认证响应单元，用于若认证成功，则所述网络边缘设备接收所述认证 ***发送的 VPN配置参数，并向所述 VPN路由设备返回认证响应，所述认证响应中携带有所述 VPN配置参数。

29、根据权利要求 28所述的网络边缘设备，其特征在于，所述网络边缘设备还包括：

第一配置单元，用于提取所述 VPN配置参数中的 VPN接入参数，将所述 VPN接入参数添加到出口路由过滤列表 ORF中 ,表示可以向所述 VPN 路由设备转发所述承载网内的 VPN路由表；

30、一种虚拟私有网 VPN路由设备，其特征在于，包括：

删除请求接收单元，用于接收云管理器发送的虚拟私有云 VPC删除请求，所述 VPC删除请求中携带有目标 VPN的承载网的网络边缘设备地址和 VPC标识；

实例删除单元，用于删除所述 VPC标识对应的 VPN实例；

31、一种云管理器，其特征在于，包括：

删除接收单元，用于接收第一虚拟私有云 VPC 删除请求，所述第一

VPC删除请求中携带有 VPC标识；