[发明专利]一种基于VXLAN的互联网接入控制系统及方法

权利要求书

1.一种基于VxLAN的互联网接入控制系统，其特征在于，所述系统包括VxLAN大二层网络(1)和三层网关(2)，通过L2层以太网接口连接；

所述VxLAN大二层网络(1)包括VxLAN汇聚设备(11)以及若干个与所述VxLAN汇聚设备(11)通信连接的VxLAN终端设备(12)；每个所述VxLAN终端设备(12)与用户局域网间连接有用户防火墙(3)。

2.根据权利要求1所述的一种基于VxLAN的互联网接入控制系统，其特征在于，所述VxLAN终端设备(12)通过vlan方式与所述用户防火墙(3)对接。

3.根据权利要求1所述的一种基于VXLAN的互联网接入控制系统，其特征在于，所述VxLAN终端设备(12)通过IP广域网与VxLAN汇聚设备(11)通信连接。

4.根据权利要求1所述的一种基于VxLAN的互联网接入控制系统，其特征在于，所述三层网关(2)上配置有VBDIF接口，用于进行VxLAN间互访、VxLAN和非VxLAN之间的通信；所述VBDIF接口为基于Bridge-Domain域创建的三层逻辑接口。

5.根据权利要求1所述的一种基于VxLAN的互联网接入控制系统，其特征在于，所述系统的报文传输过程具体为：

VxLAN终端设备(12)采用MAC-in-UDP技术将待发送的用户应用层数据报文Payload进行封装，并传输到VxLAN汇聚设备(11)后进行拆分，并将拆分得到的原始报文输入至三层网关(2)上，剥离本地端口VLAN后，获得原始用户应用层数据报文。

6.根据权利要求5所述的一种基于VxLAN的互联网接入控制系统，其特征在于，所述VxLAN终端设备(12)采用MAC-in-UDP封装技术将待发送的用户应用层数据报文Payload进行封装，对应的VxLAN报文封装的格式具体为：

7.根据权利要求6所述的一种基于VxLAN的互联网接入控制系统，其特征在于，所述VxLAN报文封装的过程具体为：

用户应用层数据报文为Payload，被封装在Inner IP header中，然后再被封装到InnerEthernet header中，报文到达VxLAN终端设备(12)后，插入VxLAN header，再被封装到目的端口为UDP4789中，形成Outer UDP header，再依次被封装到Outer IP header和OuterEthernet header中，通过IP广域网传输到VxLAN汇聚设备(11)。

8.根据权利要求1所述的一种基于VXLAN的互联网接入控制系统，其特征在于，所述VxLAN汇聚设备(11)上建立有VLAN与Bridge-domain域的一对一或多对一映射关系；VxLAN汇聚设备(11)收到业务侧报文后，根据VLAN与Bridge-domain、Bridge-domain与VNI的对应关系，选择相应的VxLAN隧道进行转发。

9.一种基于权利要求1所述的基于VxLAN的互联网接入控制系统的方法，其特征在于，所述方法具体为：成功创建VxLAN隧道后，用户端防火墙(3)WAN口IP地址上ping位于运营商的三层网关(2)上的VLAN子接口，用户防火墙(3)上定义一条缺省静态路由到运营商的三层网关(2)上访问，即访问互联网。

10.根据权利要求9所述的一种基于VXLAN的互联网接入控制系统，其特征在于，所述成功创建VxLAN隧道，具体为：对端VTEP IP地址是三层路由可达的条件下，两端VTEP获取对端VTEP IP地址，即成功创建VxLAN隧道。