虚拟网络在用户接入认证场景中的应用
如图1-48所示,某企业在园区上通过VXLAN技术构建虚拟网络进行园区内网络规划。在该网络中,办公区通过VTEP2接入虚拟网络,访客区通过VTEP3接入虚拟网络。为保证企业内部网络的安全性,需控制用户对网络的访问,只有通过认证的用户,才允许访问管理员授权的网络资源。
VXLAN构建的虚拟网络支持的用户接入方式有VLAN和子接口两种方式,但在该场景下用户接入仅支持在物理接口做认证。因此,VXLAN网络叠加用户认证场景时仅支持通过在物理口配置认证并透传VLAN,来实现用户接入VXLAN网络并进行认证。以图1-48中有线用户为例,具体流程如下:
- 用户接入Access Switch,为报文加上VLAN Tag。
- 报文携带VLAN Tag到达VTEP2时,根据设备上VLAN和BD域的绑定关系,认证请求报文经过VXLAN封装之后发往VTEP1。
- VTEP1接收到报文,进行解封装之后根据VLAN和BD域的绑定关系,将报文发往Portal/Radius服务器进行认证。
- 在Portal/Radius服务器认证完成之后,报文携带认证回应信息通过VTEP1进入VXLAN隧道,发往VTEP2。
- VTEP2收到VTEP1发送的报文并进行解封装,获得Portal/Radius服务器回应的认证信息,完成用户认证。