一种虚拟交换实例关联方法以及装置与流程

1.本说明书涉及通信技术领域，尤其涉及一种虚拟交换实例关联方法以及装置。


背景技术：

2.以太网的快速发展对传统vlan(虚拟局域网，virtual local access network)网络提出了更高的要求。为了降低vlan配置的复杂性以及ip(互联网，internet protocol)地址，pvlan(私有虚拟局域网，private vlan)技术得以应用。
3.在vxlan(可扩展虚拟局域网络，virtual extensible lan)的组网中，pvlan over vxlan用于vxlan内以及vxlan间的进一步隔离。当前的实现中，vsi(virtual switching instance，虚拟交换实例)与vxlan一一对应，vsi被划分为主用vsi和从用vsi，从用vsi包含有两种类型，即互通型从用vsi和隔离型从用vsi。如果一台终端被划分至某一类型的从用vsi，其类型则被固定，如果对该从用vsi的类型进行更改，需要重新修改该终端所属的vlan，以将该终端被归于另一类型的从用vsi，配置的灵活度较低。


技术实现要素：

4.为克服相关技术中存在的问题，本说明书提供了一种vsi关联方法以及装置。
5.结合本说明书实施方式的第一方面，本技术提供了一种vsi关联方法，应用于认证服务器，包括：
6.接收用户设备的认证请求，其中，认证请求中携带有输入的待认证用户名和待认证密码；
7.根据认证请求查找所存储的用户信息，其中，用户信息包括用户名和密码，密码包括第一密码和第二密码，第一密码与隔离型从用vsi相对应，第二密码与互通型从用vsi相对应；
8.若通过认证，则向vtep发送携带有与待认证密码相对应的授权vsi的认证响应，以使vtep关联授权vsi与所创建的ac。
9.进一步的，在根据认证请求查找所存储的用户信息之后，还包括：
10.若未通过认证，则丢弃认证请求。
11.结合本说明书实施方式的第二方面，本技术提供了一种vsi关联方法，应用于vtep，包括：
12.向认证服务器转发认证请求，其中，认证请求中携带有输入的待认证用户名和待认证密码；
13.接收认证服务器所反馈的认证响应，其中，认证服务器中存储有用户信息，用户信息包括用户名和密码，密码包括第一密码和第二密码，第一密码与隔离型从用vsi相对应，第二密码与互通型从用vsi相对应，认证响应中携带有授权vsi，授权vsi与待认证密码相对应；
14.根据认证响应创建ac，关联ac与授权vsi。
15.进一步的，向认证服务器转发认证请求，包括：
16.接收用户设备发送的访问请求；
17.若在媒体访问控制mac地址表中未查找到访问请求中所携带的mac地址，则向认证服务器发送与用户设备相对应的认证请求。
18.进一步的，在接收用户设备发送的访问请求之后，还包括：
19.若在mac地址表中查找到访问请求中所携带的mac地址，则根据mac地址转发访问请求。
20.进一步的，认证请求，还包括：虚拟局域网vlan标签以及mac地址；
21.根据认证响应创建ac，关联ac与授权vsi，包括：
22.若已创建vlan标签所对应的ac，则在vtep存储的mac地址表中记录ac与授权vsi的关联关系；
23.若未创建vlan标签所对应的ac，则根据接入接口、vlan标签以及mac地址创建ac，并关联ac与授权vsi。
24.结合本说明书实施方式的第三方面，本技术提供了一种vsi关联装置，应用于认证服务器，包括：
25.收发单元，用于接收用户设备的认证请求，其中，认证请求中携带有输入的待认证用户名和待认证密码；
26.查找单元，用于根据认证请求查找所存储的用户信息，其中，用户信息包括用户名和密码，密码包括第一密码和第二密码，第一密码与隔离型从用虚拟交换实例vsi相对应，第二密码与互通型从用vsi相对应；
27.收发单元，还用于若通过认证，则向可扩展虚拟局域网隧道端点vtep发送携带有与待认证密码相对应的授权vsi的认证响应，以使vtep关联授权vsi与所创建的ac。
28.结合本说明书实施方式的第四方面，本技术提供了一种vsi关联装置，应用于vtep，包括：
29.收发单元，用于向认证服务器转发认证请求，其中，认证请求中携带有输入的待认证用户名和待认证密码；
30.收发单元，用于接收认证服务器所反馈的认证响应，其中，认证服务器中存储有用户信息，用户信息包括用户名和密码，密码包括第一密码和第二密码，第一密码与隔离型从用vsi相对应，第二密码与互通型从用vsi相对应，认证响应中携带有授权vsi，授权vsi与待认证密码相对应；
31.关联单元，用于根据认证响应创建ac，关联ac与授权vsi。
32.进一步的，发送单元，包括：
33.接收模块，用于接收用户设备发送的访问请求；
34.发送模块，用于若在媒体访问控制mac地址表中未查找到访问请求中所携带的mac地址，则向认证服务器发送与用户设备相对应的认证请求；若在mac地址表中查找到访问请求中所携带的mac地址，则根据mac地址转发访问请求。
35.进一步的，认证请求，还包括：虚拟局域网vlan标签以及mac地址；
36.关联单元，具体用于若已创建vlan标签所对应的ac，则在vtep存储的mac地址表中记录ac与授权vsi的关联关系；若未创建vlan标签所对应的ac，则根据接入接口、vlan标签
以及mac地址创建ac，并关联ac与授权vsi。
37.结合本说明书实施方式的第五方面，本技术提供了一种服务器，包括收发器、处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令，处理器被机器可执行指令促使：实现第一方面任一项的方法步骤或者第二方面任一项的方法步骤。
38.结合本说明书实施方式的第六方面，本技术提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，机器可执行指令促使处理器：实现第一方面任一项的方法步骤或者第二方面任一项的方法步骤。
39.本说明书的实施方式提供的技术方案可以包括以下有益效果：
40.本说明书实施方式中，通过在认证服务器上配置有隔离型从用vsi和互通型从用vsi，通过不同的密码分别关联两种从用vsi，在用户进行认证的过程中，通过创建ac分别关联到两种vsi，实现用户在隔离型从用vsi和互通型从用vsi之间的切换，提高了隔离与互通之前切换的灵活性。
41.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本说明书。
附图说明
42.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本说明书的实施方式，并与说明书一起用于解释本说明书的原理。
43.图1是本技术实施方式所涉及的一种vsi关联方法的流程图，应用于vtep；
44.图2是本技术实施方式所涉及的一种vsi关联方法的网络示意图；
45.图3是本技术实施方式所涉及的一种vsi关联方法的流程图，应用于认证服务器；
46.图4是本技术实施方式所涉及的一种vsi关联方法的网络示意图；
47.图5是本技术实施方式所涉及的一种vsi关联方法的网络示意图，其中，用户设备1和用户设备2关联了隔离型从用vsi，用户设备3和用户设备4关联了互通型从用vsi；
48.图6是本技术实施方式所涉及的一种vsi关联方法的网络示意图，其中，用户设备1关联了隔离型从用vsi，用户设备2、用户设备3和用户设备4关联了互通型从用vsi；
49.图7是本技术实施方式所涉及的一种vsi关联装置的结构示意图，应用于vtep；
50.图8是本技术实施方式所涉及的一种vsi关联方法的流程图，应用于认证服务器；
51.图9是本技术实施方式所涉及的一种服务器的结构示意图。
具体实施方式
52.这里将详细地对示例性实施方式进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施方式中所描述的实施方式并不代表与本说明书相一致的所有实施方式。
53.本技术提供了一种vsi关联方法，应用于认证服务器，如图1所示，包括：
54.s100、接收用户设备的认证请求。
55.举例来说，上述方法可以应用于如图2所示的组网中，在组网中包含有vtep(可扩展虚拟局域网络隧道端点，vxlan tunnel end point)，与该vtep相连接的认证服务器。该
vtep的下行端口连接有多个交换设备，在交换设备的该上行端口预先配置有多个vlan，在交换设备的下行方向上连接有多个用户设备。
56.vtep、交换设备和用户设备可以是物理设备，也可以是在服务器中虚拟形成的虚拟设备。该认证服务器可以结合于vtep，也可以是与vtep相连的物理设备，对此不做限制。为了实现隔离或互通，该vtep被配置为主用vsi，其下所包含的用户设备将根据从用vsi的类型进行配置，该从用vsi分为隔离型从用vsi和互通型从用vsi。其中，被关联到隔离型从用vsi的用户设备之间无法进行数据传输，而被关联到互通型从用vsi的、属于同一vlan的用户设备之间可以进行输出传输。
57.认证请求中携带有输入的待认证用户名和待认证密码，该待认证用户名和待认证密码可以是用户设备发起访问请求时，由vtep重定向至认证服务器后根据用户在认证页面上所输入的用户名和密码，也可以是由mac(媒体访问控制，media access control)地址所关联的用户名和密码。
58.需要说明的是，在该认证请求中，还包含有其他信息，比如接收到该认证请求的接入接口、vlan标签以及用户设备的mac地址等等。
59.s101、根据认证请求查找所存储的用户信息。
60.在认证服务器上预先存储有多组合法的用户信息，这些用户信息包括用户名和密码。
61.为了能够根据用户输入的密码进行从用vsi的选择，一个用户名会对应配置有两个密码，即第一密码和第二密码，第一密码与隔离型从用vsi相对应，第二密码与互通型从用vsi相对应。
62.在认证服务器接收到认证请求后，解析出其中所携带的待认证用户名和待认证密码。通过待认证用户名和待认证密码，在认证服务器中查到是否存储有对应的用户名和密码，在待认证用户名和用户名匹配后，需要继续匹配待认证密码，此时，需要确定待认证密码与该用户名下的哪一个密码相匹配。比如，待认证密码匹配到第二密码。
63.s102、若通过认证，则向vtep发送携带有与待认证密码相对应的授权vsi的认证响应，以使vtep关联授权vsi与所创建的ac。
64.认证服务器匹配到第二密码，说明该认证请求被认证通过，认证服务器根据第二密码可以找出读取出与第二密码相对应的互通型从用vsi。
65.此后，认证服务器可以生成针对认证请求的认证响应，在该认证响应中携带有该授权vsi，在本例子中，授权vsi即为互通型从用vsi。
66.在vtep接收到授权vsi后，即认为该用户设备已经通过认证，可以在授权vsi允许的范围内进行访问。那么，vtep就可以结合认证过程中所获取到的接入接口、vlan标签以及mac地址创建ac(接入电路，attachment circuit)，并关联该授权vsi和ac，以使用户设备可以通过vtep进行相应的转发。其中，ac可以认为是以太网服务实例(service instance)，以太网服务实例在vtep的二层以太网接口上创建，它定义了一系列匹配规则，用来匹配从该二层以太网接口上接收到的数据，后续以ac代表以太网服务实例。通过关联ac和vsi，使符合匹配规则的报文基于vsi进行转发，可以实现用户设备跨vxlan。
67.进一步的，在根据认证请求查找所存储的用户信息之后，还包括：
68.s103、若未通过认证，则丢弃认证请求。
69.在认证未通过时，即认证请求中的待认证用户名和/或待认证密码在认证服务器中没有记录，则认证服务器可以丢弃该认证请求。vtep在预设的时间周期内未接收到认证响应，则可以认为认证未通过。
70.相对应的，本技术提供了一种vsi关联方法，应用于vtep，如图3所示，包括：
71.s300、向认证服务器转发认证请求。
72.认证请求中携带有输入的待认证用户名和待认证密码。
73.进一步的，步骤s300、向认证服务器转发认证请求，包括：
74.s300a、接收用户设备发送的访问请求。
75.s300b、若在mac地址表中未查找到访问请求中所携带的mac地址，则向认证服务器发送与用户设备相对应的认证请求。
76.进一步的，步骤s300a、在接收用户设备发送的访问请求之后，还包括：
77.s300c、若在mac地址表中查找到访问请求中所携带的mac地址，则根据mac地址转发访问请求。
78.在vtep接收到用户设备发送的访问请求后，解析出访问请求中所携带的、用户设备的mac地址(该mac地址即为源mac地址)以及该访问请求所携带的目的mac地址，通过该源mac地址查找vtep中所存储的mac地址表。如果该mac地址表已经存储了源mac地址的相关信息，则可以认为该用户设备已经经过了认证，可以根据查表的结果(根据目的mac地址确定出接口)进行转发。如果该mac地址表中未存储源mac地址的相关信息，则认为该用户设备未经过认证，需要向认证服务器发起认证请求。
79.此时，vtep可以进行重定向或根据所记录的源mac地址与用户名、密码的对应关系，使未经过认证的用户设备向认证服务器发起认证请求。
80.s301、接收认证服务器所反馈的认证响应。
81.s302、根据认证响应创建ac，关联ac与授权vsi。
82.认证服务器中存储有用户信息，用户信息包括用户名和密码，密码包括第一密码和第二密码，第一密码与隔离型从用vsi相对应，第二密码与互通型从用vsi相对应，认证响应中携带有授权vsi，授权vsi与待认证密码相对应。
83.在接收到认证服务器发送的认证响应后，根据记录的接入接口、vlan标签以及mac地址创建ac，并关联ac与授权vsi，以使vtep对用户设备的数据进行转发。在vtep中，一个vsi会存储有相对应的mac地址表，在vtep接收到上送的报文(比如访问请求)时，可以获取到该报文中所包含的源mac地址、接入接口、vlan标签等信息在mac地址表中记录对应的mac地址表项。在网络中进行泛洪，对端的vtep基于该mac地址表项指导向用户设备的转发。需要说明的是，此处创建的ac为动态ac，即通过vlan标签等信息创建ac。
84.如果ac关联授权vsi为互通型从用vsi，则用户设备所发送的数据可以通过vsi所对应的vxlan隧道进行转发，如果ac关联授权vsi为隔离型从用vsi，则用户设备发送的数据仅可以在相同vlan内进行转发，无法实现跨vxlan隧道的转发。
85.进一步的，认证请求，还包括：vlan标签以及mac地址；
86.步骤s302、根据认证响应创建ac，关联ac与授权vsi，包括：
87.s302a、若已创建vlan标签所对应的ac，则在vtep存储的mac地址表中记录ac与授权vsi的关联关系。
88.s302b、若未创建vlan标签所对应的ac，则根据接入接口、vlan标签以及mac地址创建ac，并关联ac与授权vsi。
89.在创建ac后，在vtep的mac地址表中会记录有ac(或以太网服务实例)、vlan标签以及授权vsi之间的关联关系，并且，在mac地址表中也记录有接入接口与用户设备的mac地址之前的对应关系。
90.在vtep接收到用户发送的访问请求后，通过解析该访问请求能够获取到该访问请求的源mac地址，并基于该源mac地址对mac地址表进行查找。如果能够查找到对应mac地址表项，则可以认为用户设备已经认证通过，可以基于目的mac地址进行转发；如果无法查找到对应的mac地址表项，则可以认为用户设备尚未通过认证，需要向认证服务器发起认证流程，并在认证通过后创建ac，并关联授权vsi与ac。
91.下面结合一个具体实施方式，对本技术所涉及的一种vsi关联方法进行说明。该具体实施方式所涉及的组网如图4所示，包括vtep、认证服务器、交换设备1至交换设备3以及用户设备1至用户设备4。用户设备1和用户设备2属于vlan10，用户设备3和用户设备4属于vlan20，vtep属于vlan1。vlan1与vlan10和vlan20之间相互关联。其中，交换设备也可以被称为接入设备，交换设备与vtep之间连接的接口为ac口。
92.在认证服务器中记录有用户信息，包含用户名和密码，一个用户名对应两个密码，分别为密码1和密码2，密码1对应互通型从用(secondary)vsi，密码2对应隔离型从用vsi，这两个从用vsi关联于主用(primary)vsi。在vtep上分别配置有这两类从用vsi。
93.一种vsi关联方法，包括：
94.s1、用户设备向交换设备发起访问请求，通过交换设备将访问请求转发至vtep。
95.以用户设备1为例，交换设备1接收到用户设备1上送的访问请求后，为访问请求封装对应的vlan标签(vlan10)，并向vtep转发。
96.s2、vtep记录接入接口，解析访问请求获取vlan标签和所携带的mac地址。
97.该mac地址可以为源mac地址和目的mac地址，其中，用户设备的mac地址指源mac地址。
98.s3、vtep根据vlan标签和源mac地址查找mac地址表，若未查找到对应的mac地址和vlan标签，则执行步骤s4，若查找到对应的mac地址和vlan标签，则根据mac地址表中记录进行转发。
99.s4、vtep将访问请求重定向至认证服务器的认证页面，用户通过用户设备输入待认证用户名和待认证密码。
100.s5、在输入完成后，用户设备根据用户所输入的待认证用户名和待认证密码生成认证请求，并通过交换设备和vtep将认证请求发送至认证服务器。
101.此时，待认证密码为密码2，即需要将用户设备1所在的vlan设置为隔离。
102.s6、认证服务器接收到认证请求进行解析，获取到认证请求中携带的待认证用户名和待认证密码，并与预先存储的用户信息进行匹配，若查找到对应的用户信息，则执行s7，若未查找到，则认为该认证请求未非法，反馈拒绝响应，以终结认证流程，或者，丢弃认证请求。
103.s7、认证服务器获取匹配到的密码所对应的vsi作为授权vsi携带在认证响应中，并将该认证响应反馈给vtep。
104.由于待认证密码为密码2，因此，授权vsi为与该密码2对应的隔离型从用vsi。
105.s8、vtep接收到认证响应，确认用户设备通过认证，则根据用户设备的接入接口、vlan标签和mac地址创建ac，并关联授权vsi与ac。
106.在用户设备通过认证后，在vtep的下行端口上可以创建ac，该ac与隔离型从用vsi进行关联。
107.后续接收到符合ac所配置的转发规则的报文时，可以通过隔离型从用vsi进行mac地址表的匹配。由于在隔离型从用vsi的配置下，相同vlan标签的报文之间也无法进行转发，只能通过vtep向上行方向进行转发，比如可以访问至认证服务器。
108.针对其他用户设备(即用户设备2至用户设备4)，可以参照上述过程设置各自所预设的从用vsi。最终用户设备1和用户设备2关联隔离型从用vsi，用户设备3和用户设备4关联互通型从用vsi，形成如图5所示的情况。
109.如也需要将用户设备2切换授权其他的vsi，则用户可以通过用户设备2取消登陆，即清除认证服务器上已经记录的认证，或者，用户可以通过用户设备2直接访问重定向的认证页面，重新输入待认证用户名和待认证密码。
110.s9、用户设备通过交换设备和vtep向认证服务器发起认证请求。
111.本次的认证请求中携带的待认证密码为密码1。
112.s10、认证服务器接收到认证请求进行解析，获取到认证请求中携带的待认证用户名和待认证密码，并与预先存储的用户信息进行匹配，若查找到对应的用户信息，则执行s7，若未查找到，则认为该认证请求未非法，反馈拒绝响应，以终结认证流程，或者，丢弃认证请求。
113.由于待认证密码为密码1，因此，授权vsi为与该密码1对应的互通型从用vsi。
114.在经过s8流程后，创建ac与互通型从用vsi关联，从而将用户设备2切换为互通型从用vsi，如图6所示。
115.相对应的，本技术提供了一种vsi关联装置，如图7所示，应用于认证服务器，包括：
116.收发单元，用于接收用户设备的认证请求，其中，认证请求中携带有输入的待认证用户名和待认证密码；
117.查找单元，用于根据认证请求查找所存储的用户信息，其中，用户信息包括用户名和密码，密码包括第一密码和第二密码，第一密码与隔离型从用虚拟交换实例vsi相对应，第二密码与互通型从用vsi相对应；
118.收发单元，还用于若通过认证，则向可扩展虚拟局域网隧道端点vtep发送携带有与待认证密码相对应的授权vsi的认证响应，以使vtep关联授权vsi与所创建的ac。
119.相对应的，本技术提供了一种vsi关联装置，如图8所示，应用于vtep，包括：
120.收发单元，用于向认证服务器转发认证请求，其中，认证请求中携带有输入的待认证用户名和待认证密码；
121.收发单元，用于接收认证服务器所反馈的认证响应，其中，认证服务器中存储有用户信息，用户信息包括用户名和密码，密码包括第一密码和第二密码，第一密码与隔离型从用vsi相对应，第二密码与互通型从用vsi相对应，认证响应中携带有授权vsi，授权vsi与待认证密码相对应；
122.关联单元，用于根据认证响应创建ac，关联ac与授权vsi。
123.进一步的，收发单元，包括：
124.接收模块，用于接收用户设备发送的访问请求；
125.发送模块，用于若在媒体访问控制mac地址表中未查找到访问请求中所携带的mac地址，则向认证服务器发送与用户设备相对应的认证请求；若在mac地址表中查找到访问请求中所携带的mac地址，则根据mac地址转发访问请求。
126.进一步的，认证请求，还包括：虚拟局域网vlan标签以及mac地址；
127.关联单元，具体用于若已创建vlan标签所对应的ac，则关联ac与授权vsi，并基于授权vsi所对应的vxlan隧道转发访问请求；若未创建vlan标签所对应的ac，则根据接入接口、vlan标签以及mac地址创建ac，并关联ac与授权vsi。
128.相对应的，本技术提供了一种服务器，如图9所示，包括收发器、处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令，处理器被机器可执行指令促使：实现第一方面任一项的方法步骤或者第二方面任一项的方法步骤。
129.相对应的，本技术提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，机器可执行指令促使处理器：实现第一方面任一项的方法步骤或者第二方面任一项的方法步骤。
130.本说明书的实施方式提供的技术方案可以包括以下有益效果：
131.本说明书实施方式中，通过在认证服务器上配置有隔离型从用vsi和互通型从用vsi，通过不同的密码分别关联两种从用vsi，在用户进行认证的过程中，通过创建ac分别关联到两种vsi，实现用户在隔离型从用vsi和互通型从用vsi之间的切换，提高了隔离与互通之前切换的灵活性。
132.应当理解的是，本说明书并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。
133.以上所述仅为本说明书的较佳实施方式而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。