(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210984909.X (22)申请日 2022.08.17 (65)同一申请的已公布的文献号 申请公布号 CN 115065576 A (43)申请公布日 2022.09.16 (73)专利权人 广州赛讯信息技 术有限公司 地址 510000 广东省广州市越秀区寺右新 马路108号丰伟大厦18A房 (72)发明人 何维兵　肖海彤　 (74)专利代理 机构 广东捷成专利商标代理事务 所(普通合伙) 44770 专利代理师 宋安东 (51)Int.Cl. H04L 12/46(2006.01) H04L 9/32(2006.01)H04L 9/40(2022.01) (56)对比文件 CN 107733764 A,2018.02.23 CN 112187611 A,2021.01.0 5 CN 103259736 A,2013.08.21 CN 107404 470 A,2017.1 1.28 CN 108306807 A,2018.07.20 CN 113037684 A,2021.0 6.25 CN 113645174 A,2021.1 1.12 CN 107147580 A,2017.09.08 CN 114143283 A,202 2.03.04 CN 1074932 97 A,2017.12.19 CN 111669309 A,2020.09.15 US 2022030051 A1,202 2.01.27 审查员 姜佳轮 (54)发明名称 VXLAN隧道的建立方法、 装置、 网络系统及存 储介质 (57)摘要 本发明公开了一种VXLAN隧道的建立方法、 装置、 网络系统及存储介质， 可 以满足通信主机 资源安全保护的要求， 该方法包括： 对接收到的 VTI发送的探测授权请求报文进行认证， 并在通 过认证后， 向AAA认 证服务器发送认证请求信息； 接收到AAA认证服务器发送的身份权限通过信息 后， 确定VT I具备VXLAN隧道 接入权限， 为VTI 打开 申请接入VXLAN隧道的服务端口， 再向VT I返回认 证结果和通信令牌； 接收到VTI基于通信令牌发 送的隧道建立请求报 文后， 分别向VTI和VTR发送 隧道参数、 隧道建立准备指令， 以使VTI和VTR分 别向对端 IP地址开放隧道连接服务进行VXLAN隧 道建立协商， 完成VXLAN隧道建立。 权利要求书3页 说明书11页 附图3页 CN 115065576 B 2022.11.04 CN 115065576 B 1.一种VXLAN隧道的建立方法， 其特 征在于， 包括： 接收到虚拟隧道发起端VTI发送的探测授权请求报文， 所述VTI为与用户终端连接的虚 拟隧道终端VTEP， 所述探测授权请求报文为用户数据协议UD P报文； 对所述探测授权请求报文进行认证， 并在所述探测授权请求报文通过认证后， 向AAA认 证服务器发送 认证请求信息； 接收到所述AAA认证服务发送的身份权限通过信息， 所述身份权限通过信息为所述AAA 认证服务器基于所述认证请求信息确定用户通过身份认证和隧道接入权限认证后发送的； 基于所述身份权限通过信息确定所述VTI具备VXLAN隧道接入权限， 为所述VTI打开申 请接入VXLAN隧道的服务端口， 再向所述VTI返回认证结果和通信令牌， 所述认证结果包括 所述服务端口； 接收到所述VTI基于所述通信令牌发送的隧道建立请求报文后， 向所述VTI发送隧道参 数， 并向虚拟隧道接收端VTR发送隧道建立准备指令， 以使 所述VTI和所述VTR分别向对端IP 地址开放隧道连接服务进行VXLAN隧道建立协商， 完成VXLAN隧道建立； 所述VTR为与服务器 连接的VTEP。 2.如权利要求1所述的方法， 其特征在于， 所述探测授权请求报文包括第 一探测秘钥和 UDP数据包， 所述UDP数据包包括： 用户终端的终端标识、 客户端IP、 VTR端口和第一账号密 码， 所述第一探测 秘钥由所述VTI基于共享秘钥、 用户账号、 时间戳和控制器IP经过预设算 法计算得到， 所述第一探测秘钥保存在所述探测授权请求报文的前16个字节。 3.如权利要求2所述的方法， 其特 征在于， 对所述探测授权请求报文 进行认证， 包括： 基于所述探测授权请求报文， 获得 所述第一探测秘钥； 获取存储的第 二探测秘钥列表， 所述第 二探测秘钥列表包含所有用户在 当前时段的第 二探测秘钥； 若确定所述第 一探测秘钥位于所述第 二探测秘钥列表中， 确定所述探测授权请求报文 通过认证。 4.如权利要求3所述的方法， 其特征在于， 确定所述探测授权请求报文通过认证之后， 所述方法还 包括： 解析所述探测授权请求报文， 获得 所述UDP数据包； 将所述UD P数据包记录为收到的最后一个有效授权的数据包。 5.如权利要求2所述的方法， 其特征在于， 所述认证请求信 息携带有所述用户账号和所 述第一账号密码； 接收到所述A AA认证服务器发送的身份权限通过信息， 包括： 通过所述AAA认证服务器基于所述认证请求信息， 比对所述第一账号密码与预存的所 述用户账号对应的第二账号密码， 以及基于预存所述用户账号对应的业务属性判断用户是 否具备VXLAN隧道接入权限； 接收到所述AAA认证服务器确定所述第一账号密码和所述第二账号密码相同， 且用户 具备VXLAN隧道接入权限后发送的所述身份权限通过信息 。 6.如权利要求5所述的方法， 其特征在于， 基于所述身份权限通过信息确定所述VTI具 备VXLAN隧道接入权限， 为所述VTI打开申请接入VXLAN隧道的服务端口， 再 向所述VTI返回 认证结果和通信令牌， 包括： 基于所述身份权限通过信息， 确定用户通过身份认证以及具备VXLAN隧道接入权限， 确权　利　要　求　书 1/3 页 2 CN 115065576 B 2定所述VTI具 备VXLAN隧道接入权限； 指定所述VTI的一个空闲端口为所述服务端口， 再向所述VTI返回认证结果和通信令 牌。 7.如权利要求5所述的方法， 其特征在于， 所述身份权限通过信息包括RADIUS报文； 向 所述VTI发送隧道参数之前， 所述方法还 包括： 基于所述RADIUS报文的属性值获取所述隧道参数， 所述隧道参数包括VXLAN隧道目标 IP、 隧道密码、 VXLAN网络标识符VN I和隧道带宽 。 8.一种VXLAN隧道的建立装置， 其特 征在于， 包括： 接收单元， 用于接收到VTI发送的探测授权请求报文， 所述VTI为与用户终端连接的 VTEP， 所述探测授权请求报文为用户数据协议UD P报文； 认证单元， 用于对所述探测授权请求报文 进行认证； 发送单元， 用于在所述探测授权请求报文通过认证后， 向AAA认证服务器发送认证请求 信息； 所述接收单元， 还用于接收到所述AAA认证服务器发送的身份权限通过信息， 所述身份 权限通过信息为所述AAA认证服务器基于所述认证请求信息确定用户通过身份认证和隧道 接入权限认证后发送的； 所述认证单元， 还用于基于所述身份权限通过信息确定所述VTI具备VXLAN隧道接入权 限， 为所述VTI打开申请接入VXLAN隧道的服 务端口； 所述发送单元， 还用于向所述VTI返回认证结果和通信 令牌， 所述认证结果包括所述服 务端口； 所述发送单元， 用于在所述接收单元接收到所述VTI基于所述通信令牌发送的隧道建 立请求报文后， 向所述VTI发送隧道参数， 并向VTR发送隧道建立准备指令， 以使所述VTI和 所述VTR分别向对端IP地址开放隧道连接服务进行VXLAN隧道建立协商， 完成VXLAN隧道建 立； 所述VTR为与服 务器连接的VTEP。 9.一种网络系统， 其特征在于， 包括： VTI、 VTR、 AAA认证服务器和控制器， VTI为与用户 终端连接的VTE， VTR为与服 务器连接的VTEP； 其中， 所述VTI， 用于向所述控制器发送探测授权请求报文， 所述探测授权请求报文为用户数 据协议UD P报文； 所述控制器， 用于对所述探测授权请求报文进行认证， 并在所述探测授权请求报文通 过认证后， 向所述A AA认证服务器发送 认证请求信息； 所述AAA认证服务器， 用于基于所述认证请求信息对用户进行身份认证和隧道接入权 限认证， 并在确定用户通过身份认证和隧道接入权限认证通过后， 向所述控制 器发送身份 权限通过信息； 所述控制器， 还用于基于所述身份权限通过信息确定所述VTI具备VXLAN隧道接入权限 后， 为所述VTI打开申请接入VXLAN隧道的服务端口， 再向所述VTI返回认证结果和通信令 牌， 所述认证结果包括 服务端口； 所述VTI， 还用于基于所述 通信令牌向所述控制器发送隧道建立请求报文； 所述控制器， 还用于接收所述隧道建立请求报文， 基于所述隧道建立请求报文向所述 VTI发送隧道参数， 并向所述VTR 发送隧道建立 准备指令；权　利　要　求　书 2/3 页 3 CN 115065576 B 3