技術領域

本發明涉及通信領域，尤其涉及一種虛擬私云接入認證方法及相關裝置。

背景技術

隨著數據中心的流行，企業不需要再去購買設備，布置自己的信息技術(IT，Information?Technology)中心。企業可以在數據中心里申請一組IT資源，為本企業提供云計算的服務，IT資源由數據中心管理。數據中心里的硬件資源以虛擬化設備的形式為企業提供云服務，比如企業申請N臺服務器，數據中心不會物理上劃分N臺服務器給企業使用，而是根據用戶對服務器的要求，比如中央處理器(CPU，Central?Processing?Unit)，內存，硬盤大小等要求，在硬件資源中虛擬出N臺服務器給企業使用。這些虛擬的服務器，即用戶申請的資源，構成一個虛擬私云(VPC，Virtual?Private?Cloud)。企業用戶希望在數據中心內創建的VPC能加入自己的虛擬私有網(VPN，Virtual?Private?Network)，安全訪問VPC內的資源。承載網運營商需要對VPC接入VPN進行接納控制，避免VPC誤加入VPN。比如公司A的VPC綁定到公司B的VPN中，導致公司A的信息泄露，存在安全隱患。另一方面，VPN路由信息在未授權的情況下不應該散播到未知站點中。所以VPC加入VPN前需要驗證其合法性，嚴格控制路由散播范圍。

在現有技術中，美國電氣和電子工程師協會(Institute?of?Electrical?and?Electronics?Engineers)IEEE802.1x結合遠程用戶撥號認證系統(RADIUS，Remote?Authentication?Dial?In?User?Service)技術可以實現認證、獲取配置參數的功能。但是，由于運營商邊緣設備(PE，Provider?Edge)網關與數據中心(Data?Center)網關之間是通過因特網(IP，Internet?Protocol)路由協議(即3層協議)連接的，而802.1x技術只能應用于以太網協議(即2層協議)，需要進VPC接入認證的請求到達DC網關側就無法繼續傳輸。

發明內容

本發明實施例提供了一種虛擬私云接入認證方法及相關裝置，用于在使用IP路由協議通信的網絡間進行VPC的接入認證。

根據本發明的一個方面，一種虛擬私云VPC接入認證方法，包括：

虛擬私有網VPN路由設備接收云管理器發送的虛擬私云VPC接入虛擬私有網VPN請求，所述VPC接入VPN請求中攜帶有目標VPN的承載網的標識以及VPN標識；

所述VPN路由設備向所述承載網的標識對應的網絡邊緣設備發送VPC接入請求，所述VPC接入請求中攜帶有所述VPN標識，使得所述網絡邊緣設備根據所述VPN標識進行VPC的接入認證。

可選地，所述向承載網的標識對應的網絡邊緣設備發送VPC接入請求之后，包括：

接收所述網絡邊緣設備返回的認證響應；

若所述認證響應指示為成功，則提取所述認證響應中攜帶的VPN配置參數，并根據所述VPN配置參數配置VPN實例；

根據所述認證響應向所述云管理器發送認證結果。

可選地，所述VPN標識包括：

VPN用戶名稱；

或，VPN用戶名稱和密碼；

或，VPN名稱；

或，VPN名稱和密碼。

可選地，所述承載網的標識為：網絡邊緣設備地址，承載網號，承載網名稱和目標自治系統AS號中的一個或多個；

若所述承載網的標識為網絡邊緣設備地址，則所述向承載網的標識對應的網絡邊緣設備發送VPC接入請求，包括：向網絡邊緣設備地址對應的網絡邊緣設備發送VPC接入請求；

若所述承載網的標識為承載網號，承載網名稱或目標AS號，則所述向承載網的標識對應的網絡邊緣設備發送VPC接入請求，包括：根據承載網路由表向所述承載網號、所述承載網名稱或所述目標AS號對應的網絡邊緣設備發送VPC接入請求。

可選地，所述根據承載網路由表向所述目標AS號對應的網絡邊緣設備發送VPC接入請求，包括：

根據承載網路由列表的路徑確定下一跳的第一網絡邊緣設備；

向所述第一網絡邊緣設備發送VPC接入認證請求，所述VPC接入認證請求還攜帶有所述目標AS號；

若所述第一網絡邊緣設備不是所述目標AS號對應的網絡邊緣設備，則所述第一網絡邊緣設備根據所述承載網路由表確定下一跳的第二網絡邊緣設備，并繼續向所述第二網絡邊緣設備轉發所述VPC接入認證請求，直至將所述VPC接入認證請求轉發到所述目標AS號對應的網絡邊緣設備為止。