一种用户接入方法、SDN控制器、转发设备及用户接入系统与流程

本发明涉及通信领域，尤其涉及一种用户接入方法、SDN控制器、转发设备及用户接入系统。

背景技术：

宽带网络网关控制设备(英文全称：Broadband Network Gateway,英文简称：BNG)是面向宽带网络应用的新型接入网关，它位于骨干网的边缘层，通常作为城域网中用户接入的终结点和基础服务的提供点，用于终结用户的以太网上点对点协议(英文全称：Point-to-PointPotocol Over Ethernet,英文简称：PPPOE)连接、汇聚用户的流量、与认证系统、计费系统和客户管理系统及服务策略控制系统相配合实现用户接入的认证、计费和管理功能。

近年来由于传统的BNG一般基于软硬件一体化的设备实现，当需要部署新业务时，不同时期部署的BNG设备无法通过软件升级方式实现同一功能，因此在实际应用中引入了虚拟宽带网络网关(英文全称：virtual Broadband Network Gateway，英文简称：vBNG)以实现BNG设备的功能。vBNG是一种通过对传统宽带网络网关功能虚拟化得到的虚拟设备。由于vBNG可以运行在通用服务器的硬件环境中，在实现传统BNG设备能够实现的相关功能的同时，降低了部署新业务时进行升级的成本，提高了可维护性。例如，vBNG可以在进行用户接入时完成对用户的上线处理、用户认证鉴权与计费(英文Authentication,Authorization and Accounting，缩写：AAA)、从配置的地址池中为用户分配地址以及实现用户数据报文与网络的互相转发等功能。

由于vBNG通常运行在虚拟机上，而虚拟机并非专用的网关设备，与专用的宽带远程接入服务器、宽带网络网关等物理设备相比，vBNG的转发性能较弱，因此当vBNG需要对已上线的用户的流量进行转发且被转发的流量较大时，该已上线用户的流量由vBNG进行转发会占用vBNG较多的处理资源，从而降低vBNG进行用户接入的效率，损害了用户体验。

技术实现要素：

本申请提供一种用户接入方法、SDN控制器、转发设备及用户接入系统，能够在避免对用户的认证过程造成影响的前提下，解决现有技术中已上线用户的流量由vBNG进行转发占用vBNG较多处理资源的问题。

第一方面，本发明的实施例提供了一种用户接入方法，包括：软件定义网络SDN控制器获取转发设备的设备注册信息，并根据设备注册信息获取第一端口与第二端口，第一端口为转发设备与虚拟宽带网络网关vBNG设备连接的端口，第二端口为转发设备与用户使用的用户终端设备连接的端口；SDN控制器向转发设备发送第一流表，第一流表用于指示用户认证报文、第一端口以及第二端口间的对应关系，用户认证报文包括用于认证用户的信息；转发设备接收第一流表，并根据第一流表将从第二端口收到的用户认证报文从第一端口进行转发、将从第一端口收到的用户认证报文从第二端口进行转发；SDN控制器确定用户上线成功时，获取用户IP地址，用户IP地址为授权给用户使用的用户终端设备的IP地址；SDN控制器向转发设备发送第二流表，第二流表用于指示目的IP地址为用户IP地址的报文与第二端口的对应关系以及源IP地址为用户IP地址的报文与第三端口的对应关系，第三端口为转发设备与广域网连接的端口；转发设备接收第二流表，并根据第二流表将目的IP地址为用户IP地址的报文从第二端口进行转发、将源IP地址为用户IP地址的报文从第三端口进行转发。

第二方面，本发明的实施例提供了一种软件定义网络SDN控制器，包括：获取模块，被配置为获取转发设备的设备注册信息，并根据设备注册信息获取第一端口与第二端口，第一端口为转发设备与虚拟宽带网络网关vBNG设备连接的端口，第二端口为转发设备与用户使用的用户终端设备连接的端口；处理模块，被配置为向转发设备发送第一流表，第一流表用于指示用户认证报文、第一端口以及第二端口间的对应关系，使转发设备根据第一流表将从第二端口收到的用户认证报文从第一端口进行转发、将从第一端口收到的用户认证报文从第二端口进行转发，用户认证报文包括用于认证用户的信息；获取模块还被配置为当确定用户上线成功时，获取用户IP地址，用户IP地址为授权给用户使用的用户终端设备的IP地址；处理模块还被配置为向转发设备发送第二流表，使转发设备根据第二流表将目的IP地址为用户IP地址的报文从第二端口进行转发、将源IP地址为用户IP地址的报文从第三端口进行转发，第二流表用于指示目的IP地址为用户IP地址的报文与第二端口的对应关系以及源IP地址为用户IP地址的报文与第三端口的对应关系，第三端口为转发设备与广域网连接的端口。

第三方面，本发明的实施例提供了一种转发设备，包括：发送模块，被配置为使软件定义网络SDN控制器获取设备注册信息并根据设备注册信息获取第一端口与第二端口，第一端口为转发设备与虚拟宽带网络网关vBNG设备连接的端口，第二端口为转发设备与用户使用的用户终端设备连接的端口；处理模块，被配置为接收SDN控制器发送的第一流表，第一流表用于指示用户认证报文、第一端口以及第二端口间的对应关系，根据第一流表将从第二端口收到的用户认证报文从第一端口进行转发、将从第一端口收到的用户认证报文从第二端口进行转发，用户认证报文包括用于认证用户的信息；处理模块还被配置为接收SDN控制器发送的第二流表，根据第二流表将目的IP地址为用户IP地址的报文从第二端口进行转发、将源IP地址为用户IP地址的报文从第三端口进行转发，第二流表用于指示目的IP地址为用户IP地址的报文与第二端口的对应关系以及源IP地址为用户IP地址的报文与第三端口的对应关系，第三端口为转发设备与广域网连接的端口。

第四方面，本发明的实施例提供了一种用户接入系统，包括上述第二方面中本发明的实施例所提供的软件定义网络SDN控制器以及上述第三方面中本发明的实施例所提供的转发设备。

本发明的实施例提供的一种用户接入方法、SDN控制器、转发设备及用户接入系统，通过SDN控制器获取转发设备的设备注册信息，并根据设备注册信息获取第一端口与第二端口，从而分别确定转发设备与vBNG设备连接的端口以及转发设备与用户终端设备连接的端口，其次SDN控制器向转发设备转发第一流表，使转发设备根据第一流表将从第二端口收到的用户认证报文从第一端口进行转发、将从第一端口收到的用户认证报文从第二端口进行转发。从而使用户通过用户终端设备与vBNG设备进行认证时，转发设备能够将用户终端设备发送的用户认证报文转发至vBNG设备、将vBNG设备发送的用户认证报文转发至用户终端设备，避免对用户的认证过程造成影响。之后当SDN控制器确定用户上线成功时，获取用户IP地址，并向转发设备发送第二流表，使转发设备第二流表将目的IP地址为用户IP地址的报文从第二端口进行转发、将源IP地址为用户IP地址的报文从第三端口进行转发，从而在确定用户已上线时，由转发设备将网络中其他网元向用户终端设备发送的报文不经过vBNG设备向用户终端设备转发、将用户终端设备向广域网发送的报文不经过vBNG设备转发至广域网，从而避免转发上述报文对vBNG设备所带来的压力。因此本发明的实施例提供的一种用户接入方法能够在避免对用户的认证过程造成影响的前提下，vBNG设备对已上线用户的流量进行转发所消耗的资源，从而提高了vBNG设备进行用户接入的效率，改善了用户体验。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的实施例所提供的一种用户接入网络架构的示意性结构图；

图2为本发明的实施例所提供的一种用户接入方法的示意性流程图；

图3为本发明的另一实施例所提供的一种用户接入方法的示意性流程图；

图4为本发明的实施例所提供的一种软件定义网络SDN控制器的示意性结构图；

图5为本发明的实施例所提供的一种转发设备的示意性结构图；

图6为本发明的实施例所提供的一种用户接入系统的示意性结构图；

图7为本发明的另一实施例所提供的一种用户接入系统的示意性结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了便于清楚描述本发明实施例的技术方案，在本发明的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分，本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。

为了通过基于软硬件一体化的设备实现BNG的功能，并且在需要部署新业务时，能够通过软件升级方式实现同一功能，通常通过vBNG以实现BNG设备的功能。其中，vBNG可以以功能集为单元对设备控制平面进行重构，形成独立模块，每个模块可按需在虚拟机上部署。vBNG还可以提供可编程能力，将控制面通过接口向上提供灵活的功能调用，实现用户对网络业务的按需定制。vBNG引入城域网之后可以起到BNG的功能

如附图1所示，本发明的实施例提供了一种用户接入网络架构，包括：用户终端设备(英文全称：Customer Premise Equipment，英文简称：CPE)101、vBNG 102、远程用户拨号认证服务(英文全称：Remote Authentication Dial In User Service，英文简称：Radius)服务器103以及广域网104，其中vBNG 102可以运行在虚拟机上。

具体的，当用户使用用户终端设备101向vBNG 102发送用户认证请求时，vBNG 102对用户认证请求进行相应的合法性检查的解析，并将用户认证请求中包含的用户信息向Radius服务器103发送，使Radius服务器103根据用户信息对用户进行认证，当该用户认证成功时，Radius服务器103为用户授权IP地址以及带宽等资源，并向vBNG 102发送回应报文，该回应报文包括为用户授权的IP地址以及带宽。vBNG 102根据回应报文确定用户上线成功，并将回应报文中的为用户授权的IP地址以及带宽向用户终端设备101转发，使用户终端设备能够根据上述信息配置相关参数。需要说明的是，当用户上线成功后，vBNG 102还可以向Radius服务器103发送用户计费开始请求，使Radius服务器103能够在收到用户计费开始请求后开始对用户进行计费，并向vBNG 102发送相应的radius协议报文。

其中，由于vBNG运行在虚拟机上，而虚拟机并非专用的网关设备，vBNG的转发性能较弱，已完成认证用户的流量由vBNG进行转发会占用vBNG较多的处理资源，从而降低vBNG进行用户接入的效率，损害了用户体验。

为了解决上述问题，如附图2所示，本发明的实施例提供了一种用户接入方法，包括：

201、软件定义网络SDN控制器获取转发设备的设备注册信息，并根据设备注册信息获取第一端口与第二端口。

其中，第一端口为转发设备与虚拟宽带网络网关vBNG设备连接的端口，第二端口为转发设备与用户使用的用户终端设备连接的端口。vBNG设备可以为运行vBNG的设备，示例性的，当vBNG运行在数据中心服务器时，该数据中心服务器可以为vBNG设备。

具体的，软件定义网络SDN控制器获取转发设备的设备注册信息，可以为转发设备在与SDN控制器联网后，通过与SDN控制器的拓扑发现注册，向SDN控制器发送设备注册信息使SDN控制器获取转发设备的设备注册信息，也可以为SDN控制器从其他装置或系统中获取转发设备的设备注册信息。其中，设备注册信息可以包含第一端口与第二端口。

202、SDN控制器向转发设备发送第一流表。

其中，第一流表用于指示用户认证报文、第一端口以及第二端口间的对应关系，用户认证报文包括用于认证用户的信息。

具体的，第一流表用于指示用户认证报文、第一端口以及第二端口间的对应关系，是指第一流表可以指示当转发设备从第一端口接收用户认证报文时，该转发设备可以从第二端口转发该用户认证报文；当转发设备从第二端口接收用户认证报文时，该转发设备可以从第一端口转发该用户认证报文。用户认证报文包括用于认证用户的信息指用户认证报文包括在认证用户的过程中需要的信息，其中可以包括用户的上线请求信息、用户的下线请求信息、确认用户上线成功的信息以及用户上线授权的信息等。示例性的，用户认证报文可以为IPoE协议报文。

203、转发设备接收第一流表，并根据第一流表将从第二端口收到的用户认证报文从第一端口进行转发、将从第一端口收到的用户认证报文从第二端口进行转发。

具体的，转发设备可以在确定从第二端口收到的报文为用户认证报文时，将该用户认证报文从第一端口进行转发，使用户终端设备发送的用户对用户进行认证的报文能够向vBNG设备进行转发；在确定从第一端口收到的报文为用户认证报文时，将该用户认证报文从第二端口进行转发，使vBNG设备发送的对用户进行认证的报文能够向用户终端设备进行转发。

示例性的，当转发设备接收报文且该报文的UDP源端口为67，目的端口为68，则确定该报文为上行的IPoE协议报文，即为用户认证报文；当转发设备接收报文且该报文的UDP源端口为68，目的端口为67，则确定该报文为下行的IPoE协议报文，即为用户认证报文。

204、SDN控制器确定用户上线成功时，获取用户IP地址。

其中，用户IP地址为授权给用户使用的用户终端设备的IP地址。

具体的，SDN控制器可以通过vBNG设备向SDN控制器上报的用户上线成功信息确定该用户上线成功，也可以通过其他装置或系统确定用户上线成功。SDN控制器获取用户IP地址可以为从vBNG设备获取用户IP地址，也可以为从其他装置或系统处获取用户IP地址。

优选的，当vBNG设备确定用户上线成功时，向SDN控制器上报用户上线成功信息，用户上线成功信息可以包括该用户的用户名、IP地址以及带宽。SDN控制器接收vBNG设备上报的用户上线信息，并根据用户上线信息确认用户上线成功；SDN控制器根据用户上线信息获取用户IP地址。

205、SDN控制器向转发设备发送第二流表。

其中，第二流表用于指示目的IP地址为用户IP地址的报文与第二端口的对应关系以及源IP地址为用户IP地址的报文与第三端口的对应关系，第三端口为转发设备与广域网连接的端口。

具体的，第二流表可以指示当转发设备接收到目的IP地址为用户IP地址的报文时，该转发设备可以从第二端口转发该用户认证报文；当转发设备源IP地址为用户IP地址的报文时，该转发设备可以从第三端口转发该用户认证报文。

第三端口为转发设备与广域网连接的端口，其中广域网可以为因特网(英文全称：Internet)。

206、转发设备接收第二流表，并根据第二流表将目的IP地址为用户IP地址的报文从第二端口进行转发、将源IP地址为用户IP地址的报文从第三端口进行转发。

具体的，转发设备可以在确定接收到的报文为目的IP地址为用户IP地址的报文时，将该报文从第二端口进行转发，从而使目的IP地址为用户IP地址的报文即网络中的其他网元向用户终端设备发送的报文能够由转发设备向用户终端设备进行转发；在确定接收到的报文为源IP地址为用户IP地址的报文时，将该报文从第三端口即转发设备与广域网连接端口进行转发，从而使源IP地址为用户IP地址的报文即用户终端设备向网络中其他网元发送的报文能够由转发设备向网络中其他网元进行转发。

本发明的实施例提供的一种用户接入方法，通过SDN控制器获取转发设备的设备注册信息，并根据设备注册信息获取第一端口与第二端口，从而分别确定转发设备与vBNG设备连接的端口以及转发设备与用户终端设备连接的端口，其次SDN控制器向转发设备转发第一流表，使转发设备根据第一流表将从第二端口收到的用户认证报文从第一端口进行转发、将从第一端口收到的用户认证报文从第二端口进行转发。从而使用户通过用户终端设备与vBNG设备进行认证时，转发设备能够将用户终端设备发送的用户认证报文转发至vBNG设备、将vBNG设备发送的用户认证报文转发至用户终端设备，避免对用户的认证过程造成影响。之后当SDN控制器确定用户上线成功时，获取用户IP地址，并向转发设备发送第二流表，使转发设备第二流表将目的IP地址为用户IP地址的报文从第二端口进行转发、将源IP地址为用户IP地址的报文从第三端口进行转发，从而在确定用户已上线时，由转发设备将网络中其他网元向用户终端设备发送的报文不经过vBNG设备向用户终端设备转发、将用户终端设备向广域网发送的报文不经过vBNG设备转发至广域网，从而避免转发上述报文对vBNG设备所带来的压力。因此本发明的实施例提供的一种用户接入方法能够在避免对用户的认证过程造成影响的前提下，vBNG设备对已上线用户的流量进行转发所消耗的资源，从而提高了vBNG设备进行用户接入的效率，改善了用户体验。

具体的，如附图3所示，所述用户接入方法，还包括：

207、SDN控制器确定用户下线时，向转发设备发送第二流表删除指令；

具体的，SDN控制器可以通过vBNG设备向SDN控制器上报的用户下线信息确定该用户下线，也可以通过其他装置或系统确定用户下线。

优选的，当vBNG设备确定用户下线时，向SDN控制器上报用户下线信息，用户下线信息可以包括该用户的用户名、IP地址以及带宽。SDN控制器接收vBNG设备上报的用户上线信息，并根据用户上线信息确认用户下线

示例性的，当用户终端设备启动用户下线流程时，用户终端设备向中转设备发送用于指示用户下线的下线请求报文，由于该下线请求报文可以认为用于对用户进行认证，因此中转设备可以确定从第二端口接收到的下线请求报文为用户认证报文，从而将下线请求报文从第一端口转发。vBNG设备在接收到用户终端设备发送的下线请求报文时，向SDN控制器发送用户下线信息，通知SDN控制器该用户下线，其中用户下线信息可以包括该用户的用户名、IP地址以及带宽等该用户的相关信息。

208、转发设备接收第二流表删除指令，并根据第二流表删除指令停止将目的IP地址为用户IP地址的报文从第二端口进行转发、停止将源IP地址为用户IP地址的报文从第三端口进行转发。

具体的，转发设备可以在收到第二流表删除指令后即确定该用户下线时，不再向用户终端设备转发网络中的其他网元向用户终端设备发送的除用户认证报文外其他报文，或向广域网转发用户终端设备向广域网中其他网元发送的报文，从而在该用户下线后不再处理除用户认证报文外其他与该用户的有关的报文，减少转发设备所消耗的处理资源。

如附图4所示，本发明的实施例提供了一种软件定义网络SDN控制器301，包括：

获取模块302，被配置为获取转发设备的设备注册信息，并根据设备注册信息获取第一端口与第二端口，第一端口为转发设备与虚拟宽带网络网关vBNG设备连接的端口，第二端口为转发设备与用户使用的用户终端设备连接的端口。

其中，第一端口为转发设备与虚拟宽带网络网关vBNG设备连接的端口，第二端口为转发设备与用户使用的用户终端设备连接的端口。vBNG设备可以为运行vBNG的设备，示例性的，当vBNG运行在数据中心服务器时，该数据中心服务器可以为vBNG设备。

具体的，软件定义网络SDN控制器获取转发设备的设备注册信息，可以为转发设备在与SDN控制器联网后，通过与SDN控制器的拓扑发现注册，向SDN控制器发送设备注册信息使SDN控制器获取转发设备的设备注册信息，也可以为SDN控制器从其他装置或系统中获取转发设备的设备注册信息。其中，设备注册信息可以包含第一端口与第二端口。

处理模块303，被配置为向转发设备发送第一流表，第一流表用于指示用户认证报文、第一端口以及第二端口间的对应关系，使转发设备根据第一流表将从第二端口收到的用户认证报文从第一端口进行转发、将从第一端口收到的用户认证报文从第二端口进行转发，用户认证报文包括用于认证用户的信息。

其中，第一流表用于指示用户认证报文、第一端口以及第二端口间的对应关系，用户认证报文包括用于认证用户的信息。

具体的，第一流表用于指示用户认证报文、第一端口以及第二端口间的对应关系，是指第一流表可以指示当转发设备从第一端口接收用户认证报文时，该转发设备可以从第二端口转发该用户认证报文；当转发设备从第二端口接收用户认证报文时，该转发设备可以从第一端口转发该用户认证报文。用户认证报文包括用于认证用户的信息指用户认证报文包括在认证用户的过程中需要的信息，其中可以包括用户的上线请求信息、用户的下线请求信息、确认用户上线成功的信息以及用户上线授权的信息等。示例性的，用户认证报文可以为IPoE协议报文。

具体的，转发设备可以在确定从第二端口收到的报文为用户认证报文时，将该用户认证报文从第一端口进行转发，使用户终端设备发送的用户对用户进行认证的报文能够向vBNG设备进行转发；在确定从第一端口收到的报文为用户认证报文时，将该用户认证报文从第二端口进行转发，使vBNG设备发送的对用户进行认证的报文能够向用户终端设备进行转发。

示例性的，当转发设备接收报文且该报文的UDP源端口为67，目的端口为68，则确定该报文为上行的IPoE协议报文，即为用户认证报文；当转发设备接收报文且该报文的UDP源端口为68，目的端口为67，则确定该报文为下行的IPoE协议报文，即为用户认证报文。

获取模块302还被配置为当确定用户上线成功时，获取用户IP地址，用户IP地址为授权给用户使用的用户终端设备的IP地址。

其中，用户IP地址为授权给用户使用的用户终端设备的IP地址。

具体的，SDN控制器可以通过vBNG设备向SDN控制器上报的用户上线成功信息确定该用户上线成功，也可以通过其他装置或系统确定用户上线成功。SDN控制器获取用户IP地址可以为从vBNG设备获取用户IP地址，也可以为从其他装置或系统处获取用户IP地址。

优选的，当vBNG设备确定用户上线成功时，向SDN控制器上报用户上线成功信息，用户上线成功信息可以包括该用户的用户名、IP地址以及带宽。SDN控制器接收vBNG设备上报的用户上线信息，并根据用户上线信息确认用户上线成功；SDN控制器根据用户上线信息获取用户IP地址。

处理模块303还被配置为向转发设备发送第二流表，使转发设备根据第二流表将目的IP地址为用户IP地址的报文从第二端口进行转发、将源IP地址为用户IP地址的报文从第三端口进行转发，第二流表用于指示目的IP地址为用户IP地址的报文与第二端口的对应关系以及源IP地址为用户IP地址的报文与第三端口的对应关系，第三端口为转发设备与广域网连接的端口。

其中，第二流表用于指示目的IP地址为用户IP地址的报文与第二端口的对应关系以及源IP地址为用户IP地址的报文与第三端口的对应关系，第三端口为转发设备与广域网连接的端口。

具体的，第二流表可以指示当转发设备接收到目的IP地址为用户IP地址的报文时，该转发设备可以从第二端口转发该用户认证报文；当转发设备源IP地址为用户IP地址的报文时，该转发设备可以从第三端口转发该用户认证报文。

第三端口为转发设备与广域网连接的端口，其中广域网可以为因特网(英文全称：Internet)。

具体的，转发设备可以在确定接收到的报文为目的IP地址为用户IP地址的报文时，将该报文从第二端口进行转发，从而使目的IP地址为用户IP地址的报文即网络中的其他网元向用户终端设备发送的报文能够由转发设备向用户终端设备进行转发；在确定接收到的报文为源IP地址为用户IP地址的报文时，将该报文从第三端口即转发设备与广域网连接端口进行转发，从而使源IP地址为用户IP地址的报文即用户终端设备向网络中其他网元发送的报文能够由转发设备向网络中其他网元进行转发。

本发明的实施例提供的一种软件定义网络SDN控制器，通过SDN控制器获取转发设备的设备注册信息，并根据设备注册信息获取第一端口与第二端口，从而分别确定转发设备与vBNG设备连接的端口以及转发设备与用户终端设备连接的端口，其次SDN控制器向转发设备转发第一流表，使转发设备根据第一流表将从第二端口收到的用户认证报文从第一端口进行转发、将从第一端口收到的用户认证报文从第二端口进行转发。从而使用户通过用户终端设备与vBNG设备进行认证时，转发设备能够将用户终端设备发送的用户认证报文转发至vBNG设备、将vBNG设备发送的用户认证报文转发至用户终端设备，避免对用户的认证过程造成影响。之后当SDN控制器确定用户上线成功时，获取用户IP地址，并向转发设备发送第二流表，使转发设备第二流表将目的IP地址为用户IP地址的报文从第二端口进行转发、将源IP地址为用户IP地址的报文从第三端口进行转发，从而在确定用户已上线时，由转发设备将网络中其他网元向用户终端设备发送的报文不经过vBNG设备向用户终端设备转发、将用户终端设备向广域网发送的报文不经过vBNG设备转发至广域网，从而避免转发上述报文对vBNG设备所带来的压力。因此本发明的实施例提供的一种用户接入方法能够在避免对用户的认证过程造成影响的前提下，vBNG设备对已上线用户的流量进行转发所消耗的资源，从而提高了vBNG设备进行用户接入的效率，改善了用户体验。

具体的，处理模块303还被配置为：

确定用户下线时，向转发设备发送第二流表删除指令，使转发设备根据第二流表删除指令停止将目的IP地址为用户IP地址的报文从第二端口进行转发、停止将源IP地址为用户IP地址的报文从第三端口进行转发。

具体的，SDN控制器可以通过vBNG设备向SDN控制器上报的用户下线信息确定该用户下线，也可以通过其他装置或系统确定用户下线。

优选的，当vBNG设备确定用户下线时，向SDN控制器上报用户下线信息，用户下线信息可以包括该用户的用户名、IP地址以及带宽。SDN控制器接收vBNG设备上报的用户上线信息，并根据用户上线信息确认用户下线

示例性的，当用户终端设备启动用户下线流程时，用户终端设备向中转设备发送用于指示用户下线的下线请求报文，由于该下线请求报文可以认为用于对用户进行认证，因此中转设备可以确定从第二端口接收到的下线请求报文为用户认证报文，从而将下线请求报文从第一端口转发。vBNG设备在接收到用户终端设备发送的下线请求报文时，向SDN控制器发送用户下线信息，通知SDN控制器该用户下线，其中用户下线信息可以包括该用户的用户名、IP地址以及带宽等该用户的相关信息。

具体的，转发设备可以在收到第二流表删除指令后即确定该用户下线时，不再向用户终端设备转发网络中的其他网元向用户终端设备发送的除用户认证报文外其他报文，或向广域网转发用户终端设备向广域网中其他网元发送的报文，从而在该用户下线后不再处理除用户认证报文外其他与该用户的有关的报文，减少转发设备所消耗的处理资源。

如附图5所示，本发明的实施例提供了一种转发设备401，包括：

发送模块402，被配置为使软件定义网络SDN控制器获取设备注册信息并根据设备注册信息获取第一端口与第二端口，第一端口为转发设备与虚拟宽带网络网关vBNG设备连接的端口，第二端口为转发设备与用户使用的用户终端设备连接的端口。

其中，第一端口为转发设备与虚拟宽带网络网关vBNG设备连接的端口，第二端口为转发设备与用户使用的用户终端设备连接的端口。vBNG设备可以为运行vBNG的设备，示例性的，当vBNG运行在数据中心服务器时，该数据中心服务器可以为vBNG设备。

具体的，软件定义网络SDN控制器获取转发设备的设备注册信息，可以为转发设备在与SDN控制器联网后，通过与SDN控制器的拓扑发现注册，向SDN控制器发送设备注册信息使SDN控制器获取转发设备的设备注册信息，也可以为SDN控制器从其他装置或系统中获取转发设备的设备注册信息。其中，设备注册信息可以包含第一端口与第二端口。

处理模块403，被配置为接收SDN控制器发送的第一流表，第一流表用于指示用户认证报文、第一端口以及第二端口间的对应关系，根据第一流表将从第二端口收到的用户认证报文从第一端口进行转发、将从第一端口收到的用户认证报文从第二端口进行转发，用户认证报文包括用于认证用户的信息。

其中，第一流表用于指示用户认证报文、第一端口以及第二端口间的对应关系，用户认证报文包括用于认证用户的信息。

具体的，第一流表用于指示用户认证报文、第一端口以及第二端口间的对应关系，是指第一流表可以指示当转发设备从第一端口接收用户认证报文时，该转发设备可以从第二端口转发该用户认证报文；当转发设备从第二端口接收用户认证报文时，该转发设备可以从第一端口转发该用户认证报文。用户认证报文包括用于认证用户的信息指用户认证报文包括在认证用户的过程中需要的信息，其中可以包括用户的上线请求信息、用户的下线请求信息、确认用户上线成功的信息以及用户上线授权的信息等。示例性的，用户认证报文可以为IPoE协议报文。

具体的，转发设备可以在确定从第二端口收到的报文为用户认证报文时，将该用户认证报文从第一端口进行转发，使用户终端设备发送的用户对用户进行认证的报文能够向vBNG设备进行转发；在确定从第一端口收到的报文为用户认证报文时，将该用户认证报文从第二端口进行转发，使vBNG设备发送的对用户进行认证的报文能够向用户终端设备进行转发。

示例性的，当转发设备接收报文且该报文的UDP源端口为67，目的端口为68，则确定该报文为上行的IPoE协议报文，即为用户认证报文；当转发设备接收报文且该报文的UDP源端口为68，目的端口为67，则确定该报文为下行的IPoE协议报文，即为用户认证报文。

处理模块403还被配置为接收SDN控制器发送的第二流表，根据第二流表将目的IP地址为用户IP地址的报文从第二端口进行转发、将源IP地址为用户IP地址的报文从第三端口进行转发，第二流表用于指示目的IP地址为用户IP地址的报文与第二端口的对应关系以及源IP地址为用户IP地址的报文与第三端口的对应关系，第三端口为转发设备与广域网连接的端口。

其中，用户IP地址为授权给用户使用的用户终端设备的IP地址。

具体的，SDN控制器可以通过vBNG设备向SDN控制器上报的用户上线成功信息确定该用户上线成功，也可以通过其他装置或系统确定用户上线成功。SDN控制器获取用户IP地址可以为从vBNG设备获取用户IP地址，也可以为从其他装置或系统处获取用户IP地址。

优选的，当vBNG设备确定用户上线成功时，向SDN控制器上报用户上线成功信息，用户上线成功信息可以包括该用户的用户名、IP地址以及带宽。SDN控制器接收vBNG设备上报的用户上线信息，并根据用户上线信息确认用户上线成功；SDN控制器根据用户上线信息获取用户IP地址。

其中，第二流表用于指示目的IP地址为用户IP地址的报文与第二端口的对应关系以及源IP地址为用户IP地址的报文与第三端口的对应关系，第三端口为转发设备与广域网连接的端口。

具体的，第二流表可以指示当转发设备接收到目的IP地址为用户IP地址的报文时，该转发设备可以从第二端口转发该用户认证报文；当转发设备源IP地址为用户IP地址的报文时，该转发设备可以从第三端口转发该用户认证报文。

第三端口为转发设备与广域网连接的端口，其中广域网可以为因特网(英文全称：Internet)。

具体的，转发设备可以在确定接收到的报文为目的IP地址为用户IP地址的报文时，将该报文从第二端口进行转发，从而使目的IP地址为用户IP地址的报文即网络中的其他网元向用户终端设备发送的报文能够由转发设备向用户终端设备进行转发；在确定接收到的报文为源IP地址为用户IP地址的报文时，将该报文从第三端口即转发设备与广域网连接端口进行转发，从而使源IP地址为用户IP地址的报文即用户终端设备向网络中其他网元发送的报文能够由转发设备向网络中其他网元进行转发。

本发明的实施例提供的一种转发设备，通过SDN控制器获取转发设备的设备注册信息，并根据设备注册信息获取第一端口与第二端口，从而分别确定转发设备与vBNG设备连接的端口以及转发设备与用户终端设备连接的端口，其次SDN控制器向转发设备转发第一流表，使转发设备根据第一流表将从第二端口收到的用户认证报文从第一端口进行转发、将从第一端口收到的用户认证报文从第二端口进行转发。从而使用户通过用户终端设备与vBNG设备进行认证时，转发设备能够将用户终端设备发送的用户认证报文转发至vBNG设备、将vBNG设备发送的用户认证报文转发至用户终端设备，避免对用户的认证过程造成影响。之后当SDN控制器确定用户上线成功时，获取用户IP地址，并向转发设备发送第二流表，使转发设备第二流表将目的IP地址为用户IP地址的报文从第二端口进行转发、将源IP地址为用户IP地址的报文从第三端口进行转发，从而在确定用户已上线时，由转发设备将网络中其他网元向用户终端设备发送的报文不经过vBNG设备向用户终端设备转发、将用户终端设备向广域网发送的报文不经过vBNG设备转发至广域网，从而避免转发上述报文对vBNG设备所带来的压力。因此本发明的实施例提供的一种用户接入方法能够在避免对用户的认证过程造成影响的前提下，vBNG设备对已上线用户的流量进行转发所消耗的资源，从而提高了vBNG设备进行用户接入的效率，改善了用户体验。

具体的，处理模块403还被配置为接收第二流表删除指令，并根据第二流表删除指令停止将目的IP地址为用户IP地址的报文从第二端口进行转发、停止将源IP地址为用户IP地址的报文从第三端口进行转发。

具体的，SDN控制器可以通过vBNG设备向SDN控制器上报的用户下线信息确定该用户下线，也可以通过其他装置或系统确定用户下线。

优选的，当vBNG设备确定用户下线时，向SDN控制器上报用户下线信息，用户下线信息可以包括该用户的用户名、IP地址以及带宽。SDN控制器接收vBNG设备上报的用户上线信息，并根据用户上线信息确认用户下线

示例性的，当用户终端设备启动用户下线流程时，用户终端设备向中转设备发送用于指示用户下线的下线请求报文，由于该下线请求报文可以认为用于对用户进行认证，因此中转设备可以确定从第二端口接收到的下线请求报文为用户认证报文，从而将下线请求报文从第一端口转发。vBNG设备在接收到用户终端设备发送的下线请求报文时，向SDN控制器发送用户下线信息，通知SDN控制器该用户下线，其中用户下线信息可以包括该用户的用户名、IP地址以及带宽等该用户的相关信息。

具体的，转发设备可以在收到第二流表删除指令后即确定该用户下线时，不再向用户终端设备转发网络中的其他网元向用户终端设备发送的除用户认证报文外其他报文，或向广域网转发用户终端设备向广域网中其他网元发送的报文，从而在该用户下线后不再处理除用户认证报文外其他与该用户的有关的报文，减少转发设备所消耗的处理资源。

如附图6所示，本发明的实施例提供了一种用户接入系统501，其特征在于，包括如上述实施例中所提供的软件定义网络SDN控制器502以及上述实施例中所提供的转发设备503。

优选的，如附图7所示用户接入系统501包括软件定义网络SDN控制器502、转发设备503、虚拟宽带网络网关vBNG设备504以及远程用户拨号认证服务Radius服务器505，其中SDN控制器502分别与转发设备503以及vBNG设备504连接，转发设备503还分别与vBNG设备504、用户终端设备506以及广域网507连接，vBNG设备504还与Radius服务器505连接。

本发明的实施例提供的一种用户接入系统，通过SDN控制器获取转发设备的设备注册信息，并根据设备注册信息获取第一端口与第二端口，从而分别确定转发设备与vBNG设备连接的端口以及转发设备与用户终端设备连接的端口，其次SDN控制器向转发设备转发第一流表，使转发设备根据第一流表将从第二端口收到的用户认证报文从第一端口进行转发、将从第一端口收到的用户认证报文从第二端口进行转发。从而使用户通过用户终端设备与vBNG设备进行认证时，转发设备能够将用户终端设备发送的用户认证报文转发至vBNG设备、将vBNG设备发送的用户认证报文转发至用户终端设备，避免对用户的认证过程造成影响。之后当SDN控制器确定用户上线成功时，获取用户IP地址，并向转发设备发送第二流表，使转发设备第二流表将目的IP地址为用户IP地址的报文从第二端口进行转发、将源IP地址为用户IP地址的报文从第三端口进行转发，从而在确定用户已上线时，由转发设备将网络中其他网元向用户终端设备发送的报文不经过vBNG设备向用户终端设备转发、将用户终端设备向广域网发送的报文不经过vBNG设备转发至广域网，从而避免转发上述报文对vBNG设备所带来的压力。因此本发明的实施例提供的一种用户接入方法能够在避免对用户的认证过程造成影响的前提下，vBNG设备对已上线用户的流量进行转发所消耗的资源，从而提高了vBNG设备进行用户接入的效率，改善了用户体验。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本发明可以用硬件实现，或固件实现，或它们的组合方式来实现。当使用软件实现时，可以将上述功能存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于：计算机可读介质可以包括随机存储器(英文全称：Random Access Memory，英文简称：RAM)、只读存储器(英文全称：Read Only Memory，英文简称：ROM)、电可擦可编程只读存储器(英文全称：Electrically Erasable Programmable Read Only Memory，英文简称：EEPROM)、只读光盘(英文全称：Compact Disc Read Only Memory，英文简称：CD-ROM)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。此外。任何连接可以适当的成为计算机可读介质。例如，如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户专线(英文全称：Digital Subscriber Line，英文简称：DSL)或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或者其他远程源传输的，那么同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线和微波之类的无线技术包括在计算机可读介质的定义中。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，当以软件方式实现本发明时，可以将用于执行上述方法的指令或代码存储在计算机可读介质中或通过计算机可读介质进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于：计算机可读介质可以包括RAM、ROM、电可擦可编程只读存储器(全称：electrically erasable programmable read-only memory，简称：EEPROM)、光盘、磁盘或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。