技術領域

本申請涉及網絡通信技術領域，特別涉及一種接入控制方法及裝置。

背景技術

VXLAN(Virtual eXtensible LAN，可擴展虛擬局域網絡)是基于IP(Internet Protocol，因特網協議)網絡、采用“MAC(Media Access Control，媒體訪問控制)in UDP(User Datagram Protocol，用戶數據報協議)”封裝形式的二層VPN(Virtual Private Network，虛擬專用網絡)技術。VXLAN可以基于已有的服務提供商或企業IP網絡，為分散的物理站點提供二層互聯，并能夠為不同的租戶提供業務隔離。

目前，在VXLAN網絡中，為了實現對用戶的接入認證，需要在VTEP(VXLAN Tunnel End Point，VXLAN隧道端點)與用戶終端之間增加二層交換機，在該二層交換機上對用戶進行接入認證，具體認證過程如下：

在對某一用戶進行接入認證的過程中，該二層交換機向認證服務器發送認證請求，認證服務器對該用戶進行認證，并在認證通過后，為該用戶終端分配該用戶所屬用戶組對應的VLAN(Virtual Local Area Network，虛擬局域網)標識，為了描述方便，將分配的VLAN標識記為VLAN1，將VLAN1發送給該二層交換機。該二層交換機接收到VLAN1之后，將本設備上連接該用戶終端的用戶端口添加到VLAN1中。后續，該用戶終端發出的用戶報文到達該二層交換機之后，該二層交換機會在該用戶報文中封裝VLAN1，并轉發給VTEP。

VTEP的各個物理端口上預先創建了AC(Attachment Circuit，接入電路)接口。VTEP從某一物理端口接收到該用戶報文之后，查找與該物理端口和VLAN1匹配的AC接口，確定該AC接口關聯的VXLAN標識，對該用戶報文進行VXLAN封裝后轉發出去。

發明內容

有鑒于此，本申請提供一種接入控制方法及裝置。

具體地，本申請是通過如下技術方案實現的：

一方面，提供了一種接入控制方法，該方法應用于VTEP，該方法包括：

在接收到來自用戶終端的用戶接入請求時，向認證服務器發送認證請求報文，以使認證服務器對該用戶進行認證；

接收認證服務器在認證通過后發送的授權信息，該授權信息包括：VSI標識或者VXLAN標識；

在本設備連接該用戶終端的用戶端口上創建AC接口，將該AC接口與該授權信息關聯。

另一方面，還提供了一種接入控制裝置，該裝置應用于VTEP中，該裝置包括：接收模塊、請求發送模塊和創建模塊，其中：

接收模塊，用于接收來自用戶終端的用戶接入請求；還用于接收認證服務器在認證通過后發送的授權信息，該授權信息包括：VSI標識或者VXLAN標識；

請求發送模塊，用于在接收模塊接收到來自該用戶終端的用戶接入請求時，向認證服務器發送認證請求報文，以使認證服務器對該用戶進行認證；

創建模塊，用于在接收模塊接收到該授權信息之后，在本設備連接該用戶終端的用戶端口上創建AC接口，將該AC接口與該授權信息關聯。

通過本申請的以上技術方案，在接收到來自用戶終端的用戶接入請求時，向認證服務器發送認證請求報文，這樣，認證服務器接收到該認證請求報文之后，會對該用戶進行認證，并在認證通過后，將該用戶對應的授權信息發送給VTEP，其中，該授權信息可以為VSI標識或者VXLAN標識；VTEP在接收到該授權信息之后，會在本設備連接該用戶終端的用戶端口上創建AC接口，將該AC接口與該授權信息關聯，從而實現了對用戶終端接入VXLAN網絡的接入控制。

上述方法中，VTEP具有接入認證功能，因此，無需在VTEP和用戶終端之間增加二層交換機來完成對用戶的接入認證，從而減少了網絡層次，降低了網絡復雜度；VTEP在接收到認證服務器發來的授權信息后動態創建AC接口，無需預先在VTEP的各個用戶端口上創建AC接口，從而節約了硬件資源，實現了硬件資源的按需分配，并且，減少了AC接口的配置工作量。

附圖說明

圖1是本申請一示例性實施例示出的VXLAN網絡的組網示意圖；

圖2是本申請一示例性實施例示出的接入控制方法的交互流程圖；

圖3是本申請一示例性實施例示出的VTEP的硬件結構示意圖；

圖4是本申請一示例性實施例示出的接入控制裝置的一種結構示意圖；