[发明专利]一种虚拟私云接入认证方法及相关装置

说明书

技术领域

本发明涉及通信领域，尤其涉及一种虚拟私云接入认证方法及相关装置。

背景技术

随着数据中心的流行，企业不需要再去购买设备，布置自己的信息技术(IT，Information Technology)中心。企业可以在数据中心里申请一组IT资源，为本企业提供云计算的服务，IT资源由数据中心管理。数据中心里的硬件资源以虚拟化设备的形式为企业提供云服务，比如企业申请N台服务器，数据中心不会物理上划分N台服务器给企业使用，而是根据用户对服务器的要求，比如中央处理器(CPU，Central Processing Unit)，内存，硬盘大小等要求，在硬件资源中虚拟出N台服务器给企业使用。这些虚拟的服务器，即用户申请的资源，构成一个虚拟私云(VPC，Virtual Private Cloud)。企业用户希望在数据中心内创建的VPC能加入自己的虚拟私有网(VPN，Virtual Private Network)，安全访问VPC内的资源。承载网运营商需要对VPC接入VPN进行接纳控制，避免VPC误加入VPN。比如公司A的VPC绑定到公司B的VPN中，导致公司A的信息泄露，存在安全隐患。另一方面，VPN路由信息在未授权的情况下不应该散播到未知站点中。所以VPC加入VPN前需要验证其合法性，严格控制路由散播范围。

在现有技术中，美国电气和电子工程师协会(Institute of Electrical and Electronics Engineers)IEEE802.1x结合远程用户拨号认证系统(RADIUS，Remote Authentication Dial In User Service)技术可以实现认证、获取配置参数的功能。但是，由于运营商边缘设备(PE，Provider Edge)网关与数据中心(Data Center)网关之间是通过因特网(IP，Internet Protocol)路由协议(即3层协议)连接的，而802.1x技术只能应用于以太网协议(即2层协议)，需要进VPC接入认证的请求到达DC网关侧就无法继续传输。

发明内容

本发明实施例提供了一种虚拟私云接入认证方法及相关装置，用于在使用IP路由协议通信的网络间进行VPC的接入认证。

根据本发明的一个方面，一种虚拟私云VPC接入认证方法，包括：

虚拟私有网VPN路由设备接收云管理器发送的虚拟私云VPC接入虚拟私有网VPN请求，所述VPC接入VPN请求中携带有目标VPN的承载网的标识以及VPN标识；

所述VPN路由设备向所述承载网的标识对应的网络边缘设备发送VPC接入请求，所述VPC接入请求中携带有所述VPN标识，使得所述网络边缘设备根据所述VPN标识进行VPC的接入认证。

可选地，所述向承载网的标识对应的网络边缘设备发送VPC接入请求之后，包括：

接收所述网络边缘设备返回的认证响应；

若所述认证响应指示为成功，则提取所述认证响应中携带的VPN配置参数，并根据所述VPN配置参数配置VPN实例；

根据所述认证响应向所述云管理器发送认证结果。

可选地，所述VPN标识包括：

VPN用户名称；

或，VPN用户名称和密码；

或，VPN名称；

或，VPN名称和密码。

可选地，所述承载网的标识为：网络边缘设备地址，承载网号，承载网名称和目标自治系统AS号中的一个或多个；

若所述承载网的标识为网络边缘设备地址，则所述向承载网的标识对应的网络边缘设备发送VPC接入请求，包括：向网络边缘设备地址对应的网络边缘设备发送VPC接入请求；

若所述承载网的标识为承载网号，承载网名称或目标AS号，则所述向承载网的标识对应的网络边缘设备发送VPC接入请求，包括：根据承载网路由表向所述承载网号、所述承载网名称或所述目标AS号对应的网络边缘设备发送VPC接入请求。

可选地，所述根据承载网路由表向所述目标AS号对应的网络边缘设备发送VPC接入请求，包括：

根据承载网路由列表的路径确定下一跳的第一网络边缘设备；

向所述第一网络边缘设备发送VPC接入认证请求，所述VPC接入认证请求还携带有所述目标AS号；

若所述第一网络边缘设备不是所述目标AS号对应的网络边缘设备，则所述第一网络边缘设备根据所述承载网路由表确定下一跳的第二网络边缘设备，并继续向所述第二网络边缘设备转发所述VPC接入认证请求，直至将所述VPC接入认证请求转发到所述目标AS号对应的网络边缘设备为止。