[发明专利]VxLan隧道认证方法、装置和系统及网关

说明书

本公开提出一种虚拟扩展局域网隧道认证方法、装置和系统及网关，涉及计算机网络技术领域。本公开的一种VxLan隧道认证方法，包括：虚拟企业网关vCPE在确定VxLan隧道承载的IP地址不在预配置范围内的情况下，向隧道对端的CPE发送VxLan挑战数据包；vCPE接收VxLan挑战响应数据包，记录VxLan隧道的标识，并随机生成认证明文，通过VxLan认证数据包反馈给CPE；vCPE通过VxLan隧道的标识获取隧道密码，根据隧道密码解密VxLan认证响应数据包中的认证密文，获取解密认证密文；将解密认证密文与认证明文匹配，若匹配成功，则向CPE反馈认证成功。通过这样的方法，能够有效地实现vCPE对CPE的认证识别，大大简化了系统的复杂性，同时提高了认证的安全性。

技术领域

本公开涉及计算机网络技术领域，特别是一种VxLan(Virtual Extensible LAN，虚拟扩展局域网)隧道认证方法、装置和系统及网关。

背景技术

VxLan隧道是一种对等隧道技术，从协议设计上没有发起方、响应方的区分，在两端VTEP上配置好双方的VxLan隧道参数即可进行通信。VxLan隧道最早应用IDC机房和云资源池中，解决VLAN资源易耗尽及虚机迁移等问题，因此没有像其它隧道技术如IPSec、L2TP等加入认证、识别等功能。VxLan由于具备良好的OverLay以及轻量级易部署等优势，目前正在互联网领域受到越来越多的关注和应用。

发明内容

本公开的一个目的在于提供一种VxLan隧道的认证识别方案。

根据本公开的一些实施例的一个方面，提出一种VxLan隧道认证方法，包括：虚拟企业网关vCPE在确定VxLan隧道承载的IP地址不在预配置范围内的情况下，向隧道对端的CPE发送VxLan挑战数据包，以便CPE根据VxLan挑战数据包生成携带VxLan隧道标识的VxLan挑战响应数据包；vCPE接收VxLan挑战响应数据包，记录VxLan隧道的标识，并随机生成认证明文，通过VxLan认证数据包反馈给CPE，以便CPE以隧道密码为密钥加密认证明文，生成认证密文，并通过VxLan认证响应数据包反馈给vCPE；vCPE通过VxLan隧道的标识获取隧道密码，根据隧道密码解密VxLan认证响应数据包中的认证密文，获取解密认证密文；将解密认证密文与认证明文匹配，若匹配成功，则向CPE反馈认证成功；若认证失败，则关闭隧道。

在一些实施例中，VxLan隧道认证方法还包括：vCPE接收来自CPE的VxLan数据包，获取VxLan隧道承载的IP地址。

在一些实施例中，VxLan挑战数据包的VNI字段为预定值，以便CPE在确定VNI字段为预定值的情况下，生成VxLan挑战响应数据包。

在一些实施例中，VxLan挑战响应数据包通过VNI字段携带VxLan隧道标识；VxLan认证数据包通过VNI字段携带认证明文；VxLan认证响应数据包通过VNI字段携带认证密文。

在一些实施例中，隧道标识、认证明文和认证密文的长度为24位。

根据本公开的一些实施例的一个方面，提出一种VxLan隧道认证方法，包括：CPE在收到来自vCPE的VxLan挑战数据包的情况下，生成携带VxLan隧道标识的VxLan挑战响应数据包，以便vCPE在收到VxLan挑战响应数据包后，随机生成认证明文，通过VxLan认证数据包的VNI携带认证明文，反馈给CPE；CPE接收VxLan认证数据包，以隧道密码为密钥加密认证明文，生成认证密文，通过VxLan认证响应数据包的VNI携带认证密文，并反馈给vCPE，以便vCPE通过VxLan隧道的标识获取隧道密码，根据隧道密码解密VxLan认证响应数据包中的认证密文，获取解密认证密文，并将解密认证密文与认证明文匹配；在收到vCPE反馈的认证成功消息的情况下，确定认证成功；在隧道关闭的情况下，确定认证失败。