具体实施方式

本申请实施例提供了一种VXLAN接入认证方法以及VTEP设备，应用于网络通信领域，在修改或创建VXLAN接入认证方式时，可以减轻配置的繁琐程度。

VXLAN能够在任意路由可达的网络上叠加二层虚拟网络，通过VXLAN网关实现VXLAN网络内部的互通，同时，也可以实现与传统的非VXLAN网络的互通。VXLAN通过将终端的原始报文封装在UDP报文中来延伸二层网络，即将以太报文封装在IP报文之上，通过路由在网络中传输，无需关注终端的MAC地址。通过路由网络，终端的迁移不受网络架构限制。

VXLAN报文封装，原始报文(如以太网帧)在VXLAN报文封装过程中先被添加一个VXLAN头，再被封装在UDP报头中，并使用底层网络的IP、MAC地址作为外层头进行封装。因此，在VXLAN报文中，除了原始报文，还会包括VXLAN头，外层UDP头，外层IP头。

VTEP(VXLAN tunnel endpoints，VXLAN隧道端点)设备可以对VXLAN报文进行封装和解封装。VXLAN报文中外层IP头的源IP地址为源端VTEP的IP地址，目的IP地址为目的端VTEP的IP地址。一对VTEP地址就对应着一条VXLAN隧道。在源端VTEP封装VXLAN报文后，源端VTEP向目的端VTEP发送封装报文，目的端VTEP对接收到的封装报文进行解封装。

通常，为了便于区分和说明，如图2所示，通常将基础的物理网络称为underlay网络201，将虚拟化出来的VXLAN网络称为overlay网络202。同时，将overlay网络202中的虚拟设备分成两种角色，一种代表VXLAN网络的出口，称之为边界设备，如图2中的D1。边界设备D1与外部网络对接，通常是VXLAN网络的三层网关，通常对应于underlay网络的出口网关B1，出口网关B1可以是交换机。另一种代表VXLAN网络的接入，称之为边缘设备，如图2中的C1-C5。边缘设备表示VXLAN网络接入终端的部分。边缘设备通常对应于underlay网络的网络接入设备，如图2中的A1-A5，网络接入设备一般可以是交换机或无线访问接入点(wireless access point，AP)。图2中overlay网络202的C1-C5分别对应于underlay网络201中的网络接入设备A1-A5。D1对应于出口网关B1。边缘设备C1-C5，以及边界设备D1都属于VTEP设备。

在VXLAN网络中，通过VNI区分VXLAN段，不同VXLAN段的终端不能直接二层相互通信。一个VNI表示一个租户，或一个子网，或一个工作群组。一个租户可以包括一个或多个终端。VNI对应的VXLAN网络是指该VNI对应租户下的终端互相进行二层通信时，携带该VNI的VXLAN报文所通过的所有通道。通过使用VXLAN技术进行组网，可以实现不同租户之间的网络相互隔离。如图3所示，图3为不同VNI的组网示意图。其中，第二VNI301包括边缘设备C1，边缘设备C5，边界设备D1。第三VNI302包括边缘设备C1，边缘设备C3，边缘设备C5。第四VNI303包括边缘设备C1，边缘设备C2，边缘设备C3，边缘设备C4，边缘设备C5,边界设备D1。第二VNI301，第三VNI302以及第四VNI303都是overlay网络。下面以第二VNI301为例进行说明。第二VNI301对应的VXLAN网络包括边缘设备C1与边缘设备C5之间的VXLAN隧道，边缘设备C1与边界设备D1的VXLAN隧道，以及边缘设备C5与边界设备D1的VXLAN隧道。在VXLAN隧道传输的VXLAN报文的VXLAN头中包括第二VNI。第二VNI是overlay网络，该overlay网络对应的underlay网络包括网络接入设备A1，网络接入设备A5，出口网关B1。该underlay网络还可以包括为实现物理连通性的其它设备，例如网络接入设备A1与出口网关B1之间的交换机等。

VXLAN接入认证是指通过对终端进行认证，确定终端的流量数据应当进入哪个VXLAN网络。若与终端相连的VTEP设备只有一个VXLAN网络，则VXLAN接入认证可以理解为是否同意终端的数据流量进入该VXLAN网络。

通过在underlay网络执行VXLAN接入认证，让接入认证成功的终端的流量可以在第二VNI301中传输。接入认证失败的终端的流量将无法进入第二VNI301，即VXLAN网络流量的识别和接入认证是由underlay网络来实现的。第二VNI301对应的VXLAN网络实际上只是作为流量传输网络，无法针对终端的流量，以及接入认证进行管控。如果想对终端的流量，以及接入认证进行管控，比如针对不同VNI配置不同的接入认证方式，还得依赖并转换为overlay网络的配置。导致overlay网络与underlay网络的配置和流程交织在一起，无法直接基于VXLAN网络进行配置，既不容易理解，也不方便配置，导致配置和操作均相对复杂繁琐。比如，企业通常采用VXLAN网络来实现网络隔离，通常需要根据业务特性直接对这些隔离出来的VXLAN网络进行相关的配置，如针对不同类型的VXLAN网络配置不同的接入认证策略，比如，办公网可以是有线终端和无线终端接入，采用802.1x接入认证方式；生产网只能是有线终端接入，采用基于802.1x的MAC旁路认证；访客网只能无线终端接入，采用Portal认证。按照该配置方法，必须转换到underlay网络里进行配置才行，配置流程和步骤均比较复杂。

本申请实施例中，通过在overlay网络中进行VXLAN接入认证，实现underlay网络和overlay网络的相互解耦。underlay网络主要负责物理网络的互连互通，保证IP可达性和可靠性，提供基础的网络连通性。overlay网络则负责对终端的流量和接入认证进行管控，匹配企业对网络的业务诉求，以提供灵活的网络业务属性。若要在overlay网络中进行VXLAN接入认证，则必须在未明确终端的流量应当进入哪个VXLAN网络之前，让终端的认证请求进入一个VXLAN网络。本申请实施例以图2中的overlay网络202作为第一VNI202为例进行说明。在第一VNI中执行终端的VXLAN接入认证，在认证成功后，终端的数据流量将会进入第二VNI301。

下面对本申请实施例的网络框架进行描述。

请参阅图4，图4为本申请实施例中网络框架的示意图。

图4包括：终端401，控制点设备402,以及认证点设备403。

终端401通过有线或无线方式与控制点设备402相连。终端401可以是手机，平板电脑，物联网终端设备，车载设备，可穿戴设备，计算设备等。终端401的主要的功能是向控制点设备402发送认证请求，在认证成功后，终端401通过控制点设备402转发数据流量。应当确定的是，终端401可以在认证成功前，尝试向控制点设备402发送希望转发的数据流量。

控制点设备402是VTEP设备，VTEP设备可以是交换机，AP等。图4中以控制点设备402为AP为例画图。控制点设备402既包括underlay网络的部分，也包括overlay网络的部分。以图2为例进行说明，控制点设备402既是图2中的边缘设备C1，也是网络接入设备A1。控制点设备402主要的功能是接收控制点设备402发送认证请求，对认证请求进行VXLAN报文封装，以获得VXLAN认证报文，向认证点设备403发送VXLAN认证报文。根据认证点设备403的回复对终端的流量进行相应的转发。

认证点设备403是VTEP设备。认证点设备403主要的功能是接收控制点设备402发送的VXLAN认证报文，根据VXLAN认证报文得到终端401的权限，或得到第二VNI，并向控制点设备402返回认证结果。认证点设备403可以只加入第一VNI对应的VXLAN网络，不加入其它的VXLAN网络，那么，认证点设备403就可以只用于做接入认证。例如以图2中的出口网关B1作为认证点设备403，overlay网络202作为与第一VNI对应的VXLAN网络，认证点设备403在第一VNI对应的VXLAN网络中。以图3中的overlay网络302作为第二VNI对应的VXLAN网络，认证点设备403未加入第二VNI对应的VXLAN网络。

上面对本申请实施例的网络框架进行了描述，下面对本申请实施例中的VXLAN接入认证方法进行描述。示例性的，本申请实施例所涉及附图中以虚线标识的特征或内容可理解为实施例可选地操作或者可选地结构。

请参阅图5，图5为本申请实施中VXLAN接入认证方法的流程示意图。

在步骤501中，终端向控制点设备发送第一HTTP请求。

终端连接到控制点设备后，终端打开浏览器访问任意HTTP网页。终端访问任意HTTP网页的过程就是向控制点设备发送第一HTTP请求的过程。其中，若终端访问的是任意HTTPS网页，则终端向控制点设备发送的是第一HTTPS请求。

在步骤502中，控制点设备将第一HTTP请求封装到第一VXLAN报文。

控制点设备在接收到终端发送的第一HTTP请求后，对第一HTTP请求进行VXLAN报文封装，以得到第一VXLAN报文。第一VXLAN报文包括第一VXLAN头和第一HTTP请求，第一VXLAN头包括第一VNI。第一VXLAN报文中的源IP地址为控制点设备的IP地址，目的IP地址为认证点设备的IP地址。

在步骤503中，控制点设备向认证点设备发送第一VXLAN报文。

控制点设备和认证点设备都是属于第一VNI的网络设备，控制点设备和认证点设备可以直接通过VXLAN隧道进行通信。

在步骤504中，认证点设备向控制点设备发送第二VXLAN报文，第二VXLAN报文包括HTTP重定向报文。

在认证点设备接收到控制点设备发送的第一VXLAN报文后，认证点设备对第一VXLAN报文进行解封装，获得第一HTTP请求。认证点设备读取第一HTTP请求中请求访问的网址。若该网址为访问门户服务器或设定的免费访问的网址，则认证点设备向控制点设备回复第三VNI。其中，终端的数据流量通过控制点设备向第三VNI对应的VXLAN隧道转发，可以到达门户服务器或免费访问的网址的服务器。若该网址不是前述的网址，即不是访问门户服务器或设定的免费访问的网址，则认证点设备向控制点设备发送第二VXLAN报文。其中，第二VXLAN报文包括第二VXLAN头和HTTP重定向报文，第二VXLAN头包括第一VNI，HTTP重定向报文包括门户服务器的URI。若与门户服务器相连的VTEP设备不在第一VNI中，则第二VXLAN报文还可以包括第四VNI，用于指示控制点设备转发终端指向门户服务器的流量。

在步骤505中，控制点设备向终端发送HTTP重定向报文。

在控制点设备接收到认证点设备发送的第二VXLAN报文后，控制点设备对第二VXLAN报文进行解封装，得到HTTP重定向报文。终端接收到HTTP重定向报文后，可以访问门户服务器的URI。终端访问该URI的过程可以理解为终端向控制点设备发送第二HTTP请求的过程。

控制点设备在接收到终端发送的第二HTTP请求后，对第二HTTP请求进行VXLAN报文封装，以得到第三VXLAN报文。第三VXLAN报文包括第三VXLAN头和第二HTTP请求，第三VXLAN头包括第一VNI。第三VXLAN报文中的源IP地址为控制点设备的IP地址，目的IP地址为认证点设备的IP地址。控制点设备通过VXLAN隧道向认证点设备发送第三VXLAN报文。

认证点设备对第三VXLAN报文解封装，得到第二HTTP请求。认证点设备根据第二HTTP请求中门户服务器的URI得到第四VNI，对第四VNI进行VXLAN报文封装，得到第四VXLAN报文。第四VXLAN报文包括第四VXLAN头和第四VNI，第四VXLAN头包括第一VNI。认证点设备向控制点设备发送第四VXLAN报文。

控制点设备接收到第四VXLAN报文后，对第四VXLAN报文进行解封装，得到第四VNI。控制点设备重新对第二HTTP请求进行VXLAN报文封装，以得到第五VXLAN报文。第五VXLAN报文包括第五VXLAN头和第二HTTP请求，第五VXLAN头包括第四VNI。第五VXLAN报文中的源IP地址为控制点设备的IP地址，目的IP地址为门户服务器连接的VTEP设备的IP地址。控制点设备通过VXLAN隧道向门户服务器发送第五VXLAN报文。

可选地，若第二VXLAN报文包括第四VNI，则控制点设备可以不向认证点设备发送第三VXLAN报文。控制点设备对第二HTTP请求进行VXLAN报文封装，得到第五VXLAN报文，并向门户服务器发送第五VXLAN报文。

在步骤506中，终端向控制点设备发送认证请求，该认证请求包括认证凭据。

在终端访问门户服务器的URI后，门户服务器向终端返回认证页面。终端在认证页面中输入认证凭据，并向控制点设备发送认证请求，认证请求中包括认证凭据，认证凭据可以包括用户名和密码。因为终端采用HTTP/HTTPS协议进行Portal认证，因此认证请求是HTTP POST或HTTP GET。在HTTP POST中，认证凭据放置在HTTP请求包的包体中，不作为URL的一部分。在HTTP GET中，认证凭据会附加在URL之后，以“？”分割URL和认证凭据。

可选地，认证凭据还包括终端的设备类型，终端的设备类型根据终端与控制点设备的连接方式确定。若终端与控制点设备通过无线连接，则终端的设备类型为无线设备；若终端与控制点设备通过有线连接，则终端的设备类型为有线设备。

可选地，步骤501-步骤505可以不执行。在采用Portal认证的方式进行接入认证时，才需要执行步骤501-步骤505。在采用其它的接入认证方式时，终端可以直接向控制点设备发送认证请求。例如终端可以采用802.1X认证，在802.1X认证中，终端使用可扩展认证协议(extensible authentication protocol，EAP)向控制点设备发送认证请求。认证请求中的认证凭据可以携带于不同的报文。例如，认证凭据中的用户名通过Identity类型的响应报文(EAP-Response/Identity)发送给控制点设备，认证凭据中的密码通过EAP-Response报文或MD5 Challenge报文发送给控制点设备。

在步骤507中，控制点设备将认证请求封装到VXLAN认证报文中，该VXLAN认证报文的VXLAN头包括第一VNI。

控制点设备在接收到终端发送的认证请求后，对第认证请求进行VXLAN报文封装，以得到VXLAN认证报文。VXLAN认证报文包括VXLAN头和认证请求，VXLAN头包括第一VNI。VXLAN认证报文中的源IP地址为控制点设备的IP地址，目的IP地址为认证点设备的IP地址。

与在underlay网络中做VXLAN接入认证不同的是，控制点设备接收到认证请求后，会对认证请求进行VXLAN报文封装，使得认证请求可以进入第一VNI。请参阅图6，图6为本申请实施中AN接入认证的示意图。图6包括终端601，认证点设备603以及控制点设备602。其中，控制点设备602支持underlay网络和overlay网络。终端601发送的认证请求到达控制点设备602后，会直接经过流量封装点进行封装，从而使认证请求进入overlay网络。

可选地，在不执行步骤501-步骤505的情况下，第一VNI对应的VXLAN网络中不运行数据流量，即与终端相关的，且携带第一VNI的报文只有VXLAN认证报文和认证点设备对控制点设备的回复。与终端相关的报文是指终端发出的报文。

可选地，第一VNI为默认认证VXLAN的VNI。即在控制点设备接收到与VXLAN接入认证相关的报文后，都是默认采用第一VNI对报文进行VXLAN报文封装。与VXLAN接入认证相关的报文包括认证请求，第一VXLAN报文，第三VXLAN报文等。

可选地，控制点设备为边缘设备，认证点设备为边界设备。本申请实施例是以控制点设备为边缘设备，认证点设备为边界设备为例进行说明。在具体实施中，控制点设备可以是边界设备，认证点设备可以是边缘设备。

在步骤508中，控制点设备向认证点设备发送VXLAN认证报文。

控制点设备通过第一VNI对应的VXLAN隧道向认证点设备发送VXLAN认证报文。

在步骤509中，认证点设备根据认证凭据得到终端的权限，或者得到第二VNI。

认证点设备接收到VXLAN认证报文，对VXLAN认证报文进行解封装，得到认证请求。认证点设备根据认证请求中的认证凭据得到终端的权限，或者得到第二VNI。终端的权限是指控制点设备是否允许终端的数据流量通过，若允许终端的数据流量通过，则终端的权限可以包括第二VNI。认证点设备中包括认证凭据与终端的权限的映射关系。通过该映射关系，认证点设备可以得到认证凭据相对应的终端的权限，或者得到第二VNI。

可选地，认证点设备与认证点服务器相连。认证点设备在得到认证请求后，向认证点服务器发送认证凭据。认证点服务器中包括认证凭据与终端的权限的映射关系。在认证点服务器根据认证凭据得到终端的权限，或者得到第二VNI后，认证点服务器向认证点设备发送终端的权限，或者第二VNI。

可选地，若认证凭据还包括终端的设备类型。认证点设备可以根据用户名，和终端的设备类型得到终端的权限，或者第二VNI。例如，都是用户名张三，用不同设备类型的终端向控制点设备发送认证请求。若终端的类型为无线设备，则认证点设备根据认证凭据得到终端的权限为禁止通过；若终端的类型为有线设备，则认证点设备根据认证凭据得到第二VNI。

在步骤510中，认证点设备向控制点设备发送终端的权限，或者第二VNI。

认证点设备对终端的权限，或者第二VNI进行VXLAN报文封装，得到的VXLAN报文的VXLAN头包括第一VNI。认证点设备通过第一VNI对应的VXLAN隧道向控制点设备发送该VXLAN报文。

在步骤511中，控制点设备根据终端的权限，或者第二VNI对终端的流量进行转发。

若控制点设备接收到的是第二VNI，则控制点设备在接收到终端的数据流量后，对终端的数据流量进行VXLAN报文封装，得到的VXLAN报文的VXLAN头包括第二VNI。并通过与第二VNI对应的VXLAN隧道转发该VXLAN报文。

若控制点设备接收到的是终端的权限，例如一个名字或群组，则认证点设备先查找映射表，获取该名字或群组相对应的第二VNI，然后对终端的数据流量进行VXLAN报文封装，得到的VXLAN报文的VXLAN头包括第二VNI。并通过与第二VNI对应的VXLAN隧道转发该VXLAN报文。

上面对本申请实施例中的VXLAN接入认证方法进行了描述，下面对本申请实施例中的VTEP设备进行描述。

请参阅图7，图7为本申请实施例中VTEP设备的一个结构示意图。

接收单元701，用于接收VXLAN认证报文，VXLAN认证报文为VXLAN报文，VXLAN认证报文包括VXLAN头和终端发送的认证请求，VXLAN头包括第一VXLAN网络标识VNI，认证请求包括认证凭据；

处理单元702，用于根据认证凭据得到终端的权限，或得到第二VNI，其中，终端的权限与第二VNI对应；

发送单元703，用于向控制点设备发送终端的权限或第二VNI，控制点设备为将认证请求封装到VXLAN认证报文中的设备。

其中，因为VXLAN认证报文为VXLAN报文，因此VXLAN接入认证是在overlay网络执行的。通过在overlay网络中执行VXLAN接入认证，使得在修改或创建VXLAN接入认证方式时，只需在overlay网络做相应配置，减轻配置的繁琐程度。

在图7所述的VTEP设备基础上，VTEP设备还可以包括：

可选地，第一VNI对应的VXLAN网络中不运行数据流量。

可选地，接收单元701还用于接收控制点设备发送的第一VXLAN报文，第一VXLAN报文包括第一VXLAN头和第一超文本传输协议HTTP请求，第一VXLAN头包括第一VNI；

发送单元703还用于向控制点设备发送第二VXLAN报文，第二VXLAN报文包括第二VXLAN头和HTTP重定向报文，第二VXLAN头包括第一VNI，HTTP重定向报文包括门户服务器的统一资源标识符URI。

可选地，控制点设备为边缘设备，VTEP设备为边界设备。

可选地，第一VNI为默认认证VXLAN的VNI。

请参阅图8，图8为本申请实施例中VTEP设备的另一个结构示意图。

发送单元801，用于向认证点设备发送VXLAN认证报文，VXLAN认证报文为VXLAN报文，VXLAN认证报文包括VXLAN头和终端发送的认证请求，VXLAN头包括第一VXLAN网络标识VNI，认证请求包括认证凭据；

接收单元802，用于接收终端的权限，或接收第二VNI，终端的权限与第二VNI对应，终端的权限，或者第二VNI由认证点设备根据认证凭据得到；

封装单元803，用于将来自所终端的报文封装为第二VNI对应的VXLAN网络中的VXLAN报文。

在图8所述的VTEP设备基础上，VTEP设备还可以包括：

可选地，第一VNI对应的VXLAN网络中不运行数据流量。

可选地，发送单元801还用于向认证点设备发送第一VXLAN报文，第一VXLAN报文包括第一VXLAN头和第一超文本传输协议HTTP请求，第一VXLAN头包括第一VNI；

接收单元802还用于接收认证点设备发送的第二VXLAN报文，第二VXLAN报文包括第二VXLAN头和HTTP重定向报文，第二VXLAN头包括第一VNI，HTTP重定向报文包括门户服务器的统一资源标识符URI。

可选地，VTEP设备为边缘设备，认证点设备为边界设备。

可选地，第一VNI为默认认证VXLAN的VNI。

请参阅图9，图9为本申请实施例中VTEP设备的另一个结构示意图。

如图9所示，VTEP设备900包括处理器910，与所述处理器910耦接的收发器920。VTEP设备900可以是图4、图5和图6的认证点设备。处理器910可以是中央处理器(centralprocessing unit，CPU)，网络处理器(network processor，NP)或者CPU和NP的组合。处理器还可以是专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic,GAL)或其任意组合。处理器910可以是指一个处理器，也可以包括多个处理器。

收发器920是用于在设备间接收和/或发送电信号的硬件电子器件。收发器920包括光纤收发器，射频收发器和CAN收发器以及宽带通信收发器等。收发器920用于接收VXLAN认证报文，VXLAN认证报文为VXLAN报文，VXLAN认证报文包括VXLAN头和终端发送的认证请求，VXLAN头包括第一VXLAN网络标识VNI，认证请求包括认证凭据。

处理器910用于根据认证凭据得到终端的权限，或得到第二VNI，其中，终端的权限与第二VNI对应。

收发器920还用于向控制点设备发送终端的权限或第二VNI，控制点设备为将认证请求封装到VXLAN认证报文中的设备。

可选地，VTEP设备900还包括存储器，存储器可以包括易失性存储器(volatilememory)，例如随机存取存储器(random-access memory，RAM)；存储器也可以包括非易失性存储器(non-volatile memory)，例如只读存储器(read-only memory，ROM)，快闪存储器(flash memory)，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)；存储器还可以包括上述种类的存储器的组合。

此外，处理器910执行存储器中的计算机可读指令后，可以按照所述计算机可读指令的指示，执行VTEP设备可以执行的全部操作，例如认证点设备在与图5对应的实施例中执行的操作。

请参阅图9，图9为本申请实施例中VTEP设备的另一个结构示意图。

如图9所示，VTEP设备900包括处理器910，与所述处理器910耦接的收发器920。VTEP设备900可以是图4、图5和图6的控制点设备。处理器910可以是中央处理器(centralprocessing unit，CPU)，网络处理器(network processor，NP)或者CPU和NP的组合。处理器还可以是专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic,GAL)或其任意组合。处理器910可以是指一个处理器，也可以包括多个处理器。

处理器910用于对认证请求进行VXLAN报文封装，以得到VXLAN认证报文。

收发器920是用于在设备间接收和/或发送电信号的硬件电子器件。收发器920包括光纤收发器，射频收发器和CAN收发器以及宽带通信收发器等。收发器920用于用于向认证点设备发送VXLAN认证报文。VXLAN认证报文为VXLAN报文，VXLAN认证报文包括VXLAN头和终端发送的认证请求，VXLAN头包括第一VXLAN网络标识VNI，认证请求包括认证凭据。收发器920还用于接收终端的权限，或接收第二VNI，终端的权限与第二VNI对应。终端的权限，或者第二VNI由认证点设备根据认证凭据得到。

处理器910还用于将来自所述终端的报文封装为所述第二VNI对应的VXLAN网络中的VXLAN报文。

可选地，VTEP设备900还包括存储器，存储器可以包括易失性存储器(volatilememory)，例如随机存取存储器(random-access memory，RAM)；存储器也可以包括非易失性存储器(non-volatile memory)，例如只读存储器(read-only memory，ROM)，快闪存储器(flash memory)，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)；存储器还可以包括上述种类的存储器的组合。

此外，处理器910执行存储器中的计算机可读指令后，可以按照所述计算机可读指令的指示，执行VTEP设备可以执行的全部操作，例如控制点设备在与图5对应的实施例中执行的操作。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：闪存盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。