[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP6619894B2 - アクセス制御 - Google Patents

アクセス制御 Download PDF

Info

Publication number
JP6619894B2
JP6619894B2 JP2018560827A JP2018560827A JP6619894B2 JP 6619894 B2 JP6619894 B2 JP 6619894B2 JP 2018560827 A JP2018560827 A JP 2018560827A JP 2018560827 A JP2018560827 A JP 2018560827A JP 6619894 B2 JP6619894 B2 JP 6619894B2
Authority
JP
Japan
Prior art keywords
user
vtep
packet
authentication
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018560827A
Other languages
English (en)
Other versions
JP2019515608A (ja
Inventor
鴻 殊 施
鴻 殊 施
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Publication of JP2019515608A publication Critical patent/JP2019515608A/ja
Application granted granted Critical
Publication of JP6619894B2 publication Critical patent/JP6619894B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Small-Scale Networks (AREA)

Description

関連する出願の参照
本開示は、2016年5月20日に提出された出願番号が201610345968.7であり、発明の名称が「アクセス制御方法及び装置」である中国特許出願の優先権を主張するものであり、当該出願の内容は全て本文に取り込まれる。
本開示は、ネットワークアクセス制御に関する。
VXLAN(Virtual eXtensible LAN、仮想拡張可能ローカルエリアネットワーク(VXLAN))は、IP(Internet Protocol、インターネットプロトコル)ネットワークに基づいて、「MAC(Media Access Control、メディアアクセス制御) in UDP(User Datagram Protocol、ユーザーデータグラムプロトコル)」カプセル化形式を用いた2層VPN(Virtual Private Network、仮想専用ネットワーク)技術である。VXLANは、既存のサービス提供業者又は企業IPネットワークに基づいて、分散された物理サイトに2層インターコネクションを提供し、且つ異なるテナントに業務アイソレーションを提供する。
VXLANネットワークにおいて、ユーザーに対するアクセス認証を実現するために、VTEP(VXLAN Tunnel End Point、VXLANトンネルエンドポイント)とユーザー端末の間に2層スイッチを追加し、当該2層スイッチ上でユーザーに対してアクセス認証を行う。例えば、あるユーザーに対してアクセス認証を行う過程において、当該2層スイッチは、認証サーバに認証要求を送信する。認証サーバは、当該認証要求に基づいて当該ユーザーに対して認証を行い、ユーザーが認証を通過した後、当該ユーザーにVLAN(Virtual Local Area Network、仮想局域网)を割り当てる。当該VLANはVLAN1と表記する。認証サーバは、VLAN1の識別子を当該2層スイッチに送信する。当該2層スイッチは、VLAN1の識別子を受信した後、本設備上の当該ユーザー端末を接続するユーザーポートをVLAN1に関連付ける。その後、当該ユーザー端末が送信したユーザーパケットが当該2層スイッチに到達した後、当該2層スイッチは、当該ユーザーパケットをVLAN1の識別子でカプセル化し、VTEPに送信する。
VTEPの各々の物理ポート上で、予めAC(Attachment Circuit、接続回路)インタフェースを作成する。VTEPは、ある物理ポートに当該ユーザー端末からのユーザーパケットを受信した後、当該物理ポート及びVLAN1がマッチングするACインタフェースを検索し、当該ACインタフェースに関連付けられたVXLAN識別子を確定する。そして、VTEPは、確定されたVXLAN識別子に基づいて、当該ユーザーパケットに対してVXLANカプセル化を行い、カプセル化後のパケットを転送する。
本開示の一例に基づいて例示するVXLANネットワークのネットワーキング模式図である。 本開示の一例に基づいて例示するアクセス制御方法のインタラクティブフローチャートである。 本開示の一例に基づいて例示するVTEPのハードウェア構造模式図である。 本開示の一例に基づいて例示するアクセス制御論理の機能モジュールブロック図である。 本開示の別の例に基づいて例示するアクセス制御論理の機能モジュールブロック図である。
以下、本開示の実施例における図面を結合して、本開示の実施例における技術方案を明瞭かつ完全に記述する。明らかに、記述される実施例は、ただ本開示の一部の実施例であり、全部の実施例ではない。本開示における実施例に基づいて、本分野における通常の知識を有する者により創造的労働をしない前提で取得されるすべての他の実施例は、全部本開示が保護を請求する範囲に属する。
本開示の以下の実施例において、アクセス制御方法及び当該方法を応用可能なアクセス制御装置を提供する。
図1に示すようなネットワーキングにおいて、ユーザー端末120-1、120-2、120-3、120-4、120-5、...120-n(以下、ユーザー端末120と総称する)は、VTEP130-1、130-2、130-3、...130-n(以下、VTEP130と総称する)にぞれぞれアクセスされ、各々のユーザー端末120は、そのアクセスされたVTEP130を介してVXLANネットワークにアクセスされる。なお、VTEP130は、アクセス認証機能を有効にし、3層ルーティング設備140を介して認証サーバ150と通信する。当該ネットワーキングにおいて、ユーザー端末120は、2層スイッチを経由せず、直接VTEP130にアクセスする。
図2は、本開示の一例が例示するアクセス制御方法のインタラクティブフローチャートである。
ステップS101で、ユーザー端末からのユーザーアクセス要求を受信した時、VTEP130は、認証サーバがユーザーに対して認証を行うように、認証サーバ150に認証要求パケットを送信する。
当該例でおいて、ユーザーに対する認証方式は、MACアドレス認証方式又は802.1xプロトコル認証方式である。
MACアドレス認証方式を使用する場合、VTEP130が、ユーザー端末が送信したイーサネット(登録商標)パケットを受信した後、ユーザに対して認証を行ったことがあるか否かを判断する。ユーザーに対して認証を行ったことがない場合、VTEP130は、認証サーバ150にユーザー名及び暗号がキャリーされている認証要求パケットを送信する。ユーザー名及び暗号は、いずれも当該ユーザー端末のMACアドレス、例えば、当該イーサネットパケットのソースMACアドレスであり、VTEP130に格納された固定ユーザー名及び暗号であることも可能である。この時、上記のイーサネットパケットは、ユーザーアクセス要求である。
802.1xプロトコル認証方式を使用する場合、VTEP130がユーザー端末からの802.1x認証要求パケットを受信した後、ユーザーに対して認証を行ったことがあるか否かを判断する。ユーザーに対して認証を行ったことがない場合、VTEP130は、認証サーバ150にユーザー名及び暗号がキャリーされている認証要求パケットを送信する。ユーザー名及び暗号は、802.1x認証要求パケットにキャリーされているユーザー名及び暗号である。この時、上記の802.1x認証要求パケットは、ユーザーアクセス要求である。
一例によれば、ユーザーに対して認証を行ったことがあるが否かを判断する方法は、以下の通りである。当該イーサネットパケット又は802.1x認証要求パケットのソースMACアドレスに基づいて、認証記録テーブルでマッチングするエントリを検索する。マッチングするエントリが検索されなかった場合、ユーザーに対して認証を行ったことがないことを表示し、この時、当該認証記録テーブルに一つのエントリを追加し、当該エントリは、当該ソースMACアドレス、アクセス認証状態及び許可情報を含み、アクセス認証状態は、「認証中」として設定される。
また、認証要求パケットに、VTEP130上の当該ユーザー端末を接続するユーザーポートの識別子、当該ユーザー端末のMACアドレス及び当該ユーザー端末が属するVLANの情報が更にキャリーされている。当該ユーザーポートは、当該イーサネットパケット又は802.1x認証要求パケットを受信したユーザーポートであり、当該ユーザー端末のMACアドレスは、当該イーサネットパケット又は802.1x認証要求パケットのソースMACアドレスであり、当該ユーザー端末が属するVLANは、当該イーサネットパケット又は802.1x認証要求パケットにキャリーされているVLAN情報により示される。
後で特に説明がない限り、本開示に係るユーザーポートは、いずれもVTEP上のユーザーアクセス要求を受信したポートを指す。
ステップS102で、認証サーバ150は、当該認証要求パケットを受信した後、当該ユーザーに対して認証を行い、ユーザーが認証を通過した後、当該ユーザーに対応する許可情報を検索する。
当該許可情報は、VSI(Virtual Switch Instance、仮想スイッチインスタンス)識別子であり、VXLAN識別子であることも可能である。
認証サーバ150は、当該認証要求パケットにキャリーされているユーザー名及び暗号に基づいて、当該ユーザーに対して認証を行い、ユーザーが認証を通過した後、当該ユーザーに対応する許可情報を検索する。一つの許可情報は、一つ又は複数のユーザーに対応し、一つのユーザーは、一つの許可情報のみに対応する。
ステップS103で、認証サーバ150は、VTEP130に認証を通過した当該ユーザーの許可情報を送信する。
ステップS104で、VTEP130は、当該許可情報を受信した後、本設備上の、当該ユーザー端末を接続するユーザーポート上でACインタフェースを作成し、当該ACインタフェースを当該許可情報に関連付ける。
ステップS103で、認証サーバ150は、以下のいずれか一つの方式を用いて当該許可情報を送信する。
一例によれば、認証サーバ150は、ユーザーが認証を通過した後、VTEP130に認証通過パケットを送信する。当該認証通過パケットのVendor Specific(ベンダーカスタム)フィールドに当該許可情報をキャリーする。例えば、Vendor Specificフィールドは、TLV(Type Length Value、種類・長さ・値)フォーマットである。Typeフィールドの値は、特定値、例えば、160に設定され、当該Vendor Specificフィールドが許可情報をキャリーするために用いられることを示す。Valueフィールドは、当該許可情報をキャリーするために用いられる。
このように、ステップS104で、VTEP130は、認証サーバ150が送信した認証通過パケットを受信した後、本設備の、当該ユーザー端末を接続するユーザーポート上でACインタフェースを作成する。当該ACインタフェースとユーザーポート及び当該ユーザー端末が属するVLANとがマッチングするか、或いは、当該ユーザーポート及び当該ユーザー端末のMACアドレスがマッチングするか、或いは、当該ユーザーポートと当該ユーザー端末のMACアドレス及び当該ユーザー端末が属するVLANとがマッチングする。そして、VTEP130は、当該ACインタフェースを当該認証通過パケットにキャリーされている当該許可情報に関連付ける。
別の一例によれば、VTEP130が送信した認証要求パケットに、VTEPの、当該ユーザー端末を接続するユーザーポートの識別子、当該ユーザー端末のMACアドレス及び当該ユーザー端末が属するVLANが更にキャリーされている。このため、認証サーバ150は、ユーザーが認証を通過した後、VTEP130に認証通過パケット及び配置情報を送信する可能であり、当該配置情報は、VTEP130の、当該ユーザー端末を接続するユーザーポートの識別子、当該ユーザー端末のMACアドレス、当該ユーザー端末が属するVLAN及び当該ユーザーの許可情報を含む。認証サーバ150は、Netconf(ネットワーク配置)プロトコル又はOVSDB(Open vSwitch Database、オープン仮想スイッチデータベース)管理プロトコル等を使用して配置情報を送信する。
このように、ステップS104で、VTEP130は、認証サーバ150が送信した配置情報を受信した後、当該配置情報に基づいて当該ユーザーポート上でACインタフェースを作成する。当該ACインタフェースと当該ユーザーポート及び当該ユーザー端末が属するVLANとがマッチングするか、或いは、当該ユーザーポート及び当該ユーザー端末のMACアドレスがマッチングするか、又は、当該ユーザーポートと当該ユーザー端末のMACアドレス及び当該ユーザー端末が属するVLANとがマッチングする。そして、VTEP130は、当該ACインタフェースを当該許可情報に関連付ける。
当該ユーザーポートをPort1と表記し、当該ユーザー端末のMACアドレスをMAC1と表記し、当該ユーザー端末が属するVLANをVLAN1と表記すると仮定する。ユーザーポートPort1上でACインタフェース(AC1と表記)を作成する時、対応するマッチングルールを定義する。当該マッチングルールは、ACインタフェースであるAC1とユーザーポートPort1及びユーザー端末が属するVLANであるVLAN1とがマッチングさせるために用いられ、即ち、ユーザーポートPort1に受信した所属するVLANがVLAN1であるユーザーパケットとACインタフェースであるAC1とがマッチングする。或いは、当該マッチングルールは、ACインタフェースであるAC1とユーザーポートPort1及びユーザー端末MACアドレスMAC1とがマッチングさせるために用いられ、即ち、ユーザーポートPort1に受信したソースMACアドレスがMAC1であるユーザーパケットとACインタフェースであるAC1とがマッチングする。或いは、当該マッチングルールは、ACインタフェースであるAC1とユーザーポートPort1とユーザー端末MACアドレスMAC1及びユーザー端末が所属するVLANであるVLAN1とがマッチングさせるために用いられ、即ち、ユーザーポートPort1に受信したソースMACアドレスがMAC1であり、所属するVLANがVLAN1であるユーザーパケットとACインタフェースであるAC1とがマッチングする。
また、ステップS104で、VTEP130は、更に、認証記録テーブル内のユーザー端末MACアドレスMAC1を含むエントリにおけるアクセス認証状態を「認証通過」に変更し、当該許可情報を当該エントリに追加する。
この時点で、当該ユーザーのアクセス要求は、許可され、従って、ユーザー端末によりオンラインで正常にユーザーパケットを送信する。
ステップS105で、VTEP130は、当該ACインタフェースにユーザーパケットを受信した後、当該ACインタフェースに関連付けられた許可情報を検索し、当該許可情報に基づいて当該ユーザーパケットに対してVXLANカプセル化を行った後、VXLANカプセル化するユーザーパケットを送信する。
例えば、VTEP130は、ユーザーポートPort1にユーザーパケットを受信した後、ユーザーポートPort1及び当該ユーザーパケットにキャリーされているVLAN識別子「VLAN1」に対応するACインタフェースであるAC1を確定し、従って、当該ACインタフェースであるAC1に関連付けられた許可情報を検査する。或いは、VTEP130は、ユーザーポートPort1にユーザーパケットを受信した後、ユーザーポートPort1及び当該ユーザーパケットのソースMACアドレスMAC1に対応するACインタフェースであるAC1を確定し、従って、当該ACインタフェースであるAC1に関連付けられた許可情報を検索する。或いは、VTEP130は、ユーザーポートPort1にユーザーパケットを受信した後、ユーザーポートPort1、当該ユーザーパケットのソースMACアドレスMAC1及び当該ユーザーパケットにキャリーされているVLAN識別子「VLAN1」に対応するACインタフェースであるAC1を確定し、従って、当該ACインタフェースであるAC1に関連付けられた許可情報を検索する。
検索された許可情報がVSI識別子である場合、VTEP130は、当該VSI識別子に対応するVXLAN識別子を検索し、当該ユーザーパケットに対してVXLANカプセル化を行った後、送信する。検索された許可情報がVXLAN識別子である場合、VTEP130は、当該ユーザーパケットに対してVXLANカプセル化を行った後、送信する。
ステップS106で、VTEP130は、VXLANパケットを受信した後、当該VXLANパケットに対してカプセル化を解除してユーザーパケットを得、当該VXLANパケットに対応する許可情報を確定し、当該ユーザーパケットの宛先MACアドレスに基づいて、当該許可情報に対応するMACアドレステーブルから対応するACインタフェースを検索し、当該ユーザーパケットを、当該ACインタフェースに対応するユーザーポートを介して送信する。
その後、ユーザーがオフラインになった後、VTEP130は、当該ACインタフェースを削除する。
本開示の上記の実施例の方法において、ユーザー端末からのユーザーアクセス要求を受信した時、VTEPは、認証サーバに認証要求パケット送信する。このように、認証サーバは、当該認証要求パケットを受信した後、ユーザーに対して認証を行い、ユーザーが認証を通過した後、当該ユーザーに対応する許可情報をVTEPに送信する。当該許可情報は、VSI識別子又はVXLAN識別子である。VTEPは、当該許可情報を受信した後、本設備の当該ユーザー端末を接続するユーザーポート上でACインタフェースを作成し、当該ACインタフェースを当該許可情報に関連付け、従って、ユーザー端末がVXLANネットワークへアクセスすることを制御する。
上記の方法において、VTEPは、アクセス認証機能を有する。このため、VTEPとユーザー端末の間に2層スイッチを追加してユーザーに対するアクセス認証を行なう必要がなく、従って、ネットワークレベルを効果的に減らし、ネットワーク複雑度を低下させる。VTEPは、認証サーバが送信した許可情報を受信した後、予めVTEPの各々のユーザーポート上でACインタフェース作成する必要なしに動的にACインタフェースを作成し、従って、ハードウェア資源を効果的に節約し、且つACインタフェースの配置作業量を効果的に減少する。
一例において、VTEP設備を提供する。ハードウェアのレベルから言うと、ハードウェアアーキテクチャ模式図は、図3を参照する。本開示の例が提供するVTEP設備は、機械可読記憶媒体20と、プロセッサ10とを含む。
機械可読記憶媒体20は、アクセス制御論理に対応する機械可読命令を記憶する。
プロセッサ10は、システムバス30を介して機械可読記憶媒体20と通信し、機械可読記憶媒体に記憶される前記機械可読命令を読み取り及び実行して、本開示の上記の図1の例に開示されるアクセス制御方法を実現する。
ここで、機械可読記憶媒体は、いかなる電子、磁性、光学又は他の物理的な記憶装置であり、例えば、実行可能な命令、データ等の情報を格納又は記憶する。例えば、機械可読記憶媒体は、RAM(Random Access Memory、ランダムアクセスメモリ)、揮発性メモリ、不揮発性メモリ、フラッシュメモリ、記憶ドライブ(例えば、ハードドライブ)、ソリッドステートディスク、いかなる類型の記憶ディスク(例えば、コンパクトディスク、DVD等)、或いは、類似した記憶媒体又はそれらの組み合わせである。上記のアクセス制御方法と同様な構想に基づいて、本開示の実施例は、アクセス制御装置を更に提供し、当該アクセス制御装置は、VTEP設備に応用される。図4に示すように、本開示の例が提供するアクセス制御装置50の構造図である。当該装置は、受信モジュール601と、要求送信モジュール602と、作成モジュール603とを含む。
受信モジュール601は、ユーザー端末からのユーザーアクセス要求を受信するために用いられる。なお、受信モジュール601は、更に、認証サーバが送信した認証を通過したユーザーの、VSI識別子又はVXLAN識別子を含む許可情報を受信するために用いられる。
要求送信モジュール602は、受信モジュール601がユーザー端末からのユーザーアクセス要求を受信した時、認証サーバがユーザーに対して認証を行うように、認証サーバに認証要求パケットを送信するために用いられる。
作成モジュール603は、受信モジュール601が認証サーバからの許可情報を受信した後、本設備のユーザー端末を接続するユーザーポート上でACインタフェースを作成し、当該ACインタフェースを当該許可情報に関連付けるために用いられる。
一例によれば、受信モジュール601は、具体的には、認証サーバが、ユーザーが認証を通過した後に、送信した認証通過パケットを受信するために用いられる。当該認証通過パケットのVendor Specificフィールドに、当該ユーザーの許可情報がキャリーされる。
別の一例によれば、受信モジュール601は、具体的には、認証サーバが、ユーザーが認証を通過した後に、送信した認証通過パケット及び配置情報を受信するために用いられる。当該配置情報は、前記ユーザーの許可情報を含む。
当該ACインタフェースと当該ユーザーポート及び当該ユーザー端末が属するVLANとがマッチングする。或いは、当該ACインタフェースと当該ユーザーポート及び当該ユーザー端末のMACアドレスとがマッチングする。また或いは、当該ACインタフェースと当該ユーザーポートと当該ユーザー端末のMACアドレス及び当該ユーザー端末が属するVLANとがマッチングする。
当該ACインタフェースと当該ユーザーポート及び当該ユーザー端末のMACアドレスとがマッチングする場合、図5に示すように、上記のアクセス制御装置50は、確定モジュール604と、カプセル化送信モジュール605とを更に含む。この場合、受信モジュール601は、更に、当該ユーザーポートにユーザーパケットを受信するために用いられる。確定モジュール604は、受信モジュール601が当該ユーザーポートにユーザーパケットを受信した後、当該ユーザーポート及び当該ユーザーパケットのソースMACアドレスに対応するACインタフェースを確定し、当該ACインタフェースに関連付けられた当該許可情報を確定するために用いられる。カプセル化送信モジュール605は、確定モジュール604が確定した許可情報に基づいて当該ユーザーパケットに対してVXLANカプセル化を行い、カプセル化して得たVXLANパケットを送信するために用いられる。
当該ACインタフェースと当該ユーザーポート及び当該ユーザー端末が属するVLANとがマッチングする場合、図5に示すように、上記のアクセス制御装置50は、確定モジュール604と、カプセル化送信モジュール605とを更に含む。この場合、受信モジュール601は、更に、当該ユーザーポートにユーザーパケットを受信するために用いられる。確定モジュール604は、受信モジュール601が当該ユーザーポートにユーザーパケットを受信した後、当該ユーザーポート及び当該ユーザーパケットにキャリーされているVLAN識別子に対応するACインタフェースを確定し、当該ACインタフェースに関連付けられた当該許可情報を確定するために用いられる。カプセル化送信モジュール605は、確定モジュール604が確定した許可情報に基づいて当該ユーザーパケットに対してVXLANカプセル化を行い、カプセル化して得たVXLANパケットを送信するために用いられる。
当該ACインタフェースと当該ユーザーポートと当該ユーザー端末のMACアドレス及び当該ユーザー端末が属するVLANとがマッチングする場合、図5に示すように、上記のアクセス制御装置50は、確定モジュール604と、カプセル化送信モジュール605とを更に含む。この場合、受信モジュール601は、更に、当該ユーザーポートからユーザーパケットを受信するために用いられる。確定モジュール604は、受信モジュール601が当該ユーザーポートからユーザーパケットを受信した後、当該ユーザーポート、当該ユーザーパケットのソースMACアドレス及び当該ユーザーパケットにキャリーされているVLAN識別子に対応するACインタフェースを確定し、当該ACインタフェースに関連付けられた当該許可情報を確定するために用いられる。カプセル化送信モジュール605は、確定モジュール604が確定した許可情報に基づいて当該ユーザーパケットに対してVXLANカプセル化を行い、カプセル化して得たVXLANパケットを送信するために用いられる。
また、図5に示すように、上記のアクセス制御装置50は、当該ユーザーがオフラインになった後、作成モジュール603が作成したACインタフェースを削除するための削除モジュール606を更に含む。
装置実施例は、基本的に方法実施例に対応するため、関連箇所は、方法実施例の部分の説明を参照すれば良い。以上記述された装置実施例は、ただ模式的なものであり、その中で記載された分離部品として説明されたユニットは、物理的に分かれていてもいなくても良く、ユニットとして表示された部品は、物理ユニットであってもなくても良く、即ち、一つの場所に位置しても良く、又は複数のネットワークユニットに分布されても良い。実際の必要に基づいてそのうち一部又は全部のモジュールを選んで本実施例の方案の目的を実現する。本分野における通常の知識を有する者は、創造的労働をせずに理解及び実施することができる。
以上、本開示の実施例が提供する方法及び装置を詳細に紹介し、本文において具体的な例を応用して本開示の原理及び実施形態に対して記述した。以上の実施例の説明は、ただ本開示の発明メカニズム及びその核となる思想の理解を促進するために用いられる。一方、本分野における通常の知識を有する者にとって、本開示の思想に基づいて、具体的な実施形態及び応用範囲上で変更箇所があるだろう。要約すると、本明細書の内容は、本開示に対する制限として理解されるべきではない。

Claims (14)

  1. アクセス制御方法であって、
    仮想拡張可能ローカルエリアネットワークトンネルエンドポイントVTEPは、ユーザー端末からのユーザーアクセス要求を受信した時、認証サーバがユーザーに対して認証を行うように、前記認証サーバに認証要求パケットを送信するステップと、
    前記VTEPは、前記認証サーバが送信した、認証を通過した前記ユーザーの、仮想スイッチインスタンスVSI識別子又は仮想拡張可能ローカルエリアネットワークVXLAN識別子を含む許可情報を受信するステップと、
    前記VTEPは、本設備の前記ユーザー端末を接続するユーザーポート上で接続回路ACインタフェースを作成するステップと、
    前記VTEPは、前記ACインタフェースを前記許可情報に関連付けるステップとを含むことを特徴とする方法。
  2. 前記VTEPは、前記認証サーバが送信した、認証を通過した前記ユーザーの許可情報を受信するステップは、
    前記VTEPは、ユーザーが認証を通過した後に、前記認証サーバが送信した認証通過パケットを受信するステップを含み、
    前記認証通過パケットのベンダーカスタムフィールドに前記ユーザーの許可情報がキャリーされることを特徴とする請求項1に記載の方法。
  3. 前記認証サーバが送信した、認証を通過した前記ユーザーの許可情報を受信するステップは、
    ユーザーが認証を通過した後に、前記認証サーバが送信した認証通過パケット及び配置情報を受信するステップを含み、
    前記配置情報は、前記ユーザーの許可情報を含むことを特徴とする請求項1に記載の方法。
  4. 前記ACインタフェースと前記ユーザーポート及び前記ユーザー端末のMACアドレスとがマッチングし、前記方法は、
    前記VTEPは、前記ユーザーポートから前記ユーザー端末からのユーザーパケットを受信するステップと、
    前記VTEPは、前記ユーザーポート及び前記ユーザーパケットのソースMACアドレスに対応するACインタフェースを確定するステップと、
    前記VTEPは、確定されたACインタフェースに関連付けられた許可情報を確定するステップと、
    前記VTEPは、前記許可情報に基づいて、前記ユーザーパケットに対してVXLANカプセル化を行うステップと、
    前記VTEPは、カプセル化して得たVXLANパケットを送信するステップとを更に含むことを特徴とする請求項1に記載の方法。
  5. 前記ACインタフェースと前記ユーザーポート及び前記ユーザー端末が属するVLANとがマッチングし、前記方法は、
    前記VTEPは、前記ユーザーポートに前記ユーザー端末からのユーザーパケットを受信するステップと、
    前記VTEPは、前記ユーザーポート及び前記ユーザーパケットにキャリーされているVLAN識別子に対応するACインタフェースを確定するステップと、
    前記VTEPは、確定されたACインタフェースに関連付けられた許可情報を確定するステップと、
    前記VTEPは、前記許可情報に基づいて、前記ユーザーパケットに対してVXLANカプセル化を行うステップと、
    前記VTEPは、カプセル化して得たVXLANパケットを送信するステップとを更に含むことを特徴とする請求項1に記載の方法。
  6. 前記ACインタフェースと前記ユーザーポートと前記ユーザー端末のMACアドレス及び前記ユーザー端末が属するVLANとがマッチングし、前記方法は、
    前記VTEPは、前記ユーザーポートに前記ユーザー端末からのユーザーパケットを受信するステップと、
    前記VTEPは、前記ユーザーポート、前記ユーザーパケットのソースMACアドレス及び前記ユーザーパケットにキャリーされているVLAN識別子に対応するACインタフェースを確定するステップと、
    前記VTEPは、確定されたACインタフェースに関連付けられた許可情報を確定するステップと、
    前記VTEPは、前記許可情報に基づいて、前記ユーザーパケットに対してVXLANカプセル化を行うステップと、
    前記VTEPは、カプセル化して得たVXLANパケットを送信するステップとを更に含むことを特徴とする請求項1に記載の方法。
  7. 前記VTEPは、前記ユーザーがオフラインになった後、前記ACインタフェースを削除するステップを更に含むことを特徴とする請求項1に記載の方法。
  8. 仮想拡張可能ローカルエリアネットワークトンネルエンドポイントVTEP設備であって、プロセッサと、機械可読記憶媒体とを含み、前記機械可読記憶媒体に、前記プロセッサにより実行可能な機械可読命令が記憶され、前記プロセッサは、前記機械可読命令に、
    ユーザー端末からのユーザーアクセス要求を受信した時、認証サーバがユーザーに対して認証を行うように、前記認証サーバに認証要求パケットを送信し、
    前記認証サーバが送信した、認証を通過した前記ユーザーの、仮想スイッチインスタンスVSI識別子又は仮想拡張可能ローカルエリアネットワークVXLAN識別子を含む許可情報を受信し、
    本設備の前記ユーザー端末を接続するユーザーポート上で接続回路ACインタフェースを作成し、
    前記ACインタフェースを前記許可情報に関連付けさせられることを特徴とするVTEP設備。
  9. 前記認証サーバが送信した、認証を通過した前記ユーザーの許可情報を受信する時、前記機械可読命令は、前記プロセッサに、
    前記認証サーバが、ユーザーが認証を通過した後に、送信した認証通過パケットを受信させ、
    前記認証通過パケットのベンダーカスタムフィールドに前記ユーザーの許可情報がキャリーされることを特徴とする請求項8に記載のVTEP設備。
  10. 前記認証サーバが送信した、認証を通過した前記ユーザーの許可情報を受信する時、前記機械可読命令は、前記プロセッサに、
    前記認証サーバが、ユーザーが認証を通過した後に、送信した認証通過パケット及び配置情報を受信させ、
    前記配置情報は、前記ユーザーの許可情報を含むことを特徴とする請求項8に記載のVTEP設備。
  11. 前記ACインタフェースと前記ユーザーポート及び前記ユーザー端末のMACアドレスとがマッチングし、前記機械可読命令は、更に、前記プロセッサに、
    前記ユーザーポートに前記ユーザー端末からのユーザーパケットを受信し、
    前記ユーザーポート及び前記ユーザーパケットのソースMACアドレスに対応するACインタフェースを確定し、
    確定されたACインタフェースに関連付けられた許可情報を確定し、
    前記許可情報に基づいて、前記ユーザーパケットに対してVXLANカプセル化を行い、
    カプセル化して得たVXLANパケットを送信させることを特徴とする請求項8に記載のVTEP設備。
  12. 前記ACインタフェースと前記ユーザーポート及び前記ユーザー端末が属するVLANとがマッチングし、前記機械可読命令は、更に、前記プロセッサに、
    前記ユーザーポートに前記ユーザー端末からのユーザーパケットを受信し、
    前記ユーザーポート及び前記ユーザーパケットにキャリーされているVLAN識別子に対応するACインタフェースを確定し、
    確定されたACインタフェースに関連付けられた許可情報を確定し、
    前記許可情報に基づいて、前記ユーザーパケットに対してVXLANカプセル化を行い、
    カプセル化して得たVXLANパケットを送信させることを特徴とする請求項8に記載のVTEP設備。
  13. 前記ACインタフェースと前記ユーザーポートと前記ユーザー端末のMACアドレス及び前記ユーザー端末が属するVLANとがマッチングし、前記機械可読命令は、更に、前記プロセッサに、
    前記ユーザーポートに前記ユーザー端末からのユーザーパケットを受信し、
    前記ユーザーポート、前記ユーザーパケットのソースMACアドレス及び前記ユーザーパケットにキャリーされているVLAN識別子に対応するACインタフェースを確定し、
    確定されたACインタフェースに関連付けられた許可情報を確定し、
    前記許可情報に基づいて、前記ユーザーパケットに対してVXLANカプセル化を行い、
    カプセル化して得たVXLANパケットを送信させることを特徴とする請求項8に記載のVTEP設備。
  14. 前記機械可読命令は、更に、前記プロセッサに、
    前記ユーザーがオフラインになった後、前記ACインタフェースを削除させることを特徴とする請求項8に記載のVTEP設備。
JP2018560827A 2016-05-20 2017-05-17 アクセス制御 Active JP6619894B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201610345968.7A CN107404470A (zh) 2016-05-20 2016-05-20 接入控制方法及装置
CN201610345968.7 2016-05-20
PCT/CN2017/084646 WO2017198163A1 (zh) 2016-05-20 2017-05-17 接入控制

Publications (2)

Publication Number Publication Date
JP2019515608A JP2019515608A (ja) 2019-06-06
JP6619894B2 true JP6619894B2 (ja) 2019-12-11

Family

ID=60326452

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018560827A Active JP6619894B2 (ja) 2016-05-20 2017-05-17 アクセス制御

Country Status (5)

Country Link
US (1) US11146551B2 (ja)
EP (1) EP3461072B1 (ja)
JP (1) JP6619894B2 (ja)
CN (1) CN107404470A (ja)
WO (1) WO2017198163A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107947989B (zh) * 2017-11-28 2020-10-09 新华三技术有限公司 动态ac生成方法及装置
CN107888473B (zh) * 2017-11-30 2020-08-11 新华三技术有限公司 创建ac口的方法及装置
CN110650076B (zh) * 2018-06-26 2021-12-24 华为技术有限公司 Vxlan的实现方法,网络设备和通信系统
CN110650075B (zh) * 2018-06-26 2022-02-18 华为技术有限公司 基于vxlan的组策略实现方法、网络设备和组策略实现系统
CN109067635B (zh) * 2018-09-29 2021-04-02 新华三技术有限公司 一种信息处理方法及装置
CN109391534B (zh) * 2018-10-26 2021-05-07 新华三技术有限公司合肥分公司 一种接入模式更新方法及装置
CN109639556B (zh) * 2019-01-07 2021-05-28 新华三技术有限公司 一种转发表项的上报方法及vtep设备
CN112769584B (zh) * 2019-10-21 2023-06-30 中兴通讯股份有限公司 网络切片共享上联口的方法、装置及存储介质
CN113645174B (zh) * 2020-04-27 2023-04-18 华为技术有限公司 Vxlan接入认证方法以及vtep设备
CN111654865B (zh) * 2020-07-31 2022-02-22 迈普通信技术股份有限公司 终端认证方法、装置、网络设备及可读存储介质
CN113542094B (zh) * 2021-06-07 2023-03-31 新华三信息安全技术有限公司 访问权限的控制方法及装置
CN113438334B (zh) * 2021-06-08 2023-02-28 新华三技术有限公司 一种端口pvid配置方法、装置及系统
CN114222296B (zh) * 2021-11-23 2023-08-08 广东电网有限责任公司 一种无线网的安全接入方法和系统
CN115065576B (zh) * 2022-08-17 2022-11-04 广州赛讯信息技术有限公司 Vxlan隧道的建立方法、装置、网络系统及存储介质

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4628938B2 (ja) * 2005-12-02 2011-02-09 三菱電機株式会社 データ通信システム、端末装置およびvpn設定更新方法
JP2011182111A (ja) * 2010-02-26 2011-09-15 Kddi Corp ユーザ通信情報監視システム
CN103379010B (zh) * 2012-04-20 2018-09-21 中兴通讯股份有限公司 一种虚拟网络实现方法及系统
US8811409B2 (en) * 2012-06-04 2014-08-19 Telefonaktiebolaget L M Ericsson (Publ) Routing VLAN tagged packets to far end addresses of virtual forwarding instances using separate administrations
US8931046B2 (en) 2012-10-30 2015-01-06 Stateless Networks, Inc. System and method for securing virtualized networks
US9667527B2 (en) * 2013-01-04 2017-05-30 Nec Corporation Control apparatus, communication system, tunnel endpoint control method, and program
CN103430498B (zh) * 2013-02-06 2016-05-25 华为技术有限公司 一种网络虚拟化的数据传输的方法、设备和路由系统
US9197551B2 (en) * 2013-03-15 2015-11-24 International Business Machines Corporation Heterogeneous overlay network translation for domain unification
US9621508B2 (en) * 2013-08-20 2017-04-11 Arista Networks, Inc. System and method for sharing VXLAN table information with a network controller
US10097372B2 (en) * 2014-01-09 2018-10-09 Ciena Corporation Method for resource optimized network virtualization overlay transport in virtualized data center environments
US9979711B2 (en) * 2015-06-26 2018-05-22 Cisco Technology, Inc. Authentication for VLAN tunnel endpoint (VTEP)
CN105592062A (zh) * 2015-10-28 2016-05-18 杭州华三通信技术有限公司 一种保持ip地址不变的方法及装置

Also Published As

Publication number Publication date
WO2017198163A1 (zh) 2017-11-23
EP3461072A1 (en) 2019-03-27
EP3461072A4 (en) 2019-03-27
JP2019515608A (ja) 2019-06-06
US11146551B2 (en) 2021-10-12
CN107404470A (zh) 2017-11-28
US20190141036A1 (en) 2019-05-09
EP3461072B1 (en) 2022-01-12

Similar Documents

Publication Publication Date Title
JP6619894B2 (ja) アクセス制御
EP1998506B1 (en) Method for controlling the connection of a virtual network
US20140230044A1 (en) Method and Related Apparatus for Authenticating Access of Virtual Private Cloud
TWI549452B (zh) 用於對虛擬私人網路之特定應用程式存取之系統及方法
JP2019516320A (ja) パケット伝送
US10454880B2 (en) IP packet processing method and apparatus, and network system
US20030140142A1 (en) Initiating connections through firewalls and network address translators
US10187356B2 (en) Connectivity between cloud-hosted systems and on-premises enterprise resources
WO2014075312A1 (zh) 一种网络穿越服务的提供方法、装置及系统
US8611358B2 (en) Mobile network traffic management
EP3598705B1 (en) Routing control
CN107547351B (zh) 地址分配方法和装置
WO2016180020A1 (zh) 一种报文处理方法、设备和系统
EP4131884A1 (en) Vxlan access authentication method and vtep device
CN114051714A (zh) 用于生成上下文标签的系统和方法
JP2005167646A (ja) 接続制御システム、接続制御装置、及び接続管理装置
CN109495431A (zh) 接入控制方法、装置和系统、以及交换机
CN103227822B (zh) 一种p2p通信连接建立方法和设备
US20150381387A1 (en) System and Method for Facilitating Communication between Multiple Networks
JP2012070225A (ja) ネットワーク中継装置及び転送制御システム
CN113472625B (zh) 基于移动互联网的透明桥接方法、系统、设备及存储介质
TW201517654A (zh) 傳輸路徑控制系統
JP3779914B2 (ja) ゲートウェイ装置及び該装置を用いたアクセス方法
WO2016082363A1 (zh) 用户数据管理方法及装置
JP4608466B2 (ja) 通信システムおよび通信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181119

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190702

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191112

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191115

R150 Certificate of patent or registration of utility model

Ref document number: 6619894

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250