一种二层虚拟专用网络L2VPN的数据转发方法和装置与流程

本公开涉及计算机网络技术领域，具体涉及一种二层虚拟专用网络l2vpn的数据转发方法和装置。

背景技术：

bras(broadbandremoteaccessserver，宽带远程接入服务器)是面向宽带网络应用的接入网关。一种bras的架构如图1所示，其中主要包括两个角色：cp(controlplane，控制平面)和up(userplane，用户平面)。cp主要用于用户接入控制和用户地址分配，以及认证、授权、计费、用户在线检测等；up主要用于用户流量转发、用户统计、路由、组播和mpls(multi-protocollabelswitching，多标签协议交换)等，因此也可称为转发平面。另外图1还示出了cr(corerouter，核心路由器)，以及webserver(网络服务器)、dhcpserver(dynamichostconfigurationprotocolserver，动态主机配置协议服务器)、aaa(authentication,authorization,accounting——认证，授权，计费)&radius(remoteauthenticationdialinuserservice，远程用户拨号认证系统)，并标出了数据通路line以及测试仪、管理交换机、业务交换机、pc(personalcomputer个人电脑)用以说明整个bras的应用场景。其中，cp还利用了nfv(networkfunctionvirtualization，网络功能虚拟化技术)作为控制节点和计算节点。

技术实现要素：

本公开提供了一种二层虚拟专用网络l2vpn的数据转发方法和装置，以解决在例如图1所示的转控分离式的bras架构下l2vpn数据无法正常转发的问题。

依据本公开的一个方面，提供了一种二层虚拟专用网络l2vpn的数据转发方法，应用于宽带远程接入服务器bras的设备中，所述bras包括用户平面up和控制平面cp，所述设备是up设备，该方法包括：

对于连接所述up设备的各l2vpn用户设备，基于可拓展虚拟局域网vxlan的接入电路ac口，分别为用户设备建立与cp设备间的认证通道，以及为用户设备建立与远端边缘路由器pe间的转发通道；

接收用户设备的认证报文，将所述认证报文通过所述认证通道转发给相应的cp设备，接收所述cp设备返回的认证结果；

若所述认证结果为认证成功，则通知所述用户设备上线，将接收到的所述用户设备的数据报文通过所述转发通道转发至相应的pe。

依据本公开的另一方面，提供了一种二层虚拟专用网络l2vpn的数据转发装置，应用于宽带远程接入服务器bras的设备中，所述bras包括用户屏幕up和控制平面cp，所述设备是up设备，该装置包括：

通道建立单元，用于对于连接所述up设备的各l2vpn用户设备，基于可拓展虚拟局域网vxlan的接入电路ac口，分别为用户设备建立与cp设备间的认证通道，以及为用户设备建立与远端边缘路由器pe间的转发通道；

数据转发单元，用于接收用户设备的认证报文，将所述认证报文通过所述认证通道转发给相应的cp设备，接收所述cp设备返回的认证结果，若所述认证结果为认证成功，则通知所述用户设备上线，将接收到的所述用户设备的数据报文通过所述转发通道转发至相应的pe。

依据本公开的又一方面，提供了一种二层虚拟专用网络l2vpn的数据转发装置，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现如上述任一所述的方法步骤。

依据本公开的再一方面，提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器：实现如上述任一所述的方法步骤。

由上述可知，本公开的技术方案，基于可拓展虚拟局域网vxlan的接入电路ac口，在up设备上为用户设备建立与cp设备直接的认证通道和与pe之间的转发通道，实现了将不同的报文通过不同通道转发至不同的目标设备。该技术方案实现了在转控分离的bras组网下实现l2vpn用户流量的正确转发，并同时不影响正常的用户控制和验证、计费等。

附图说明

图1示出了一种bras组网架构示意图；

图2示出了根据本公开一个实施例的一种二层虚拟专用网络l2vpn的数据转发方法的流程示意图；

图3示出了ipoe用户认证流程的示意图；

图4示出了根据本公开一个实施例的二层虚拟专用网络l2vpn的数据转发装置的结构示意图；

图5示出了根据本公开一个实施例的一种电子设备硬件的结构示意图。

具体实施方式

图1所示的bras组网中up与cp相互独立，可以作为实现bras的转控(转发和控制)分离的前提条件。一种情况下，如图1所示的bras组网中，在up设备上，用户设备的bras接入端口是通过如下方式实现的：将vxlan(virtualextensiblelan，可拓展虚拟局域网)绑定up设备的物理端口，并将vxlan的网关vsi-interface(virtualswitchinginstance-interface，虚拟交换实例接口，也称为vsi虚接口)作为bras的接入端口。而建立vsi时，会将vsi与vxlan的ac(attachmentcircuit，接入电路)口进行绑定，那么也就实现了上述物理端口与vxlan的ac口的绑定，并且由于ac口用于进行数据的三层转发，那么该ac口将不能被该up设备用作l2vpn(layer2virtualprivatenetwork，二层虚拟专用网络)的ac口，这样l2vpn设备无法直接接入l2vpn进行流量转发。

为此，本公开提供了一种二层虚拟专用网络l2vpn的数据转发方法和装置，以解决转控分离的bras组网架构下l2vpn的数据转发问题。为使本公开的目的、技术方案和优点更加清楚，下面将结合附图对本公开实施方式作进一步地详细描述。

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

在本公开使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

图2示出了根据本公开一个实施例的一种二层虚拟专用网络l2vpn的数据转发方法的流程示意图。该方法可应用于宽带远程接入服务器bras的设备中，bras包括up和控制平面cp，例如参照图1。所述设备是up设备。如图2所示，该方法包括：

步骤s210，对于连接up设备的各l2vpn用户设备，基于可拓展虚拟局域网vxlan的接入电路ac口，分别为用户设备建立与cp设备间的认证通道，以及为用户设备建立与远端边缘路由器pe间的转发通道。

步骤s220，接收用户设备的认证报文，将认证报文通过认证通道转发给相应的cp设备，接收cp设备返回的认证结果。

步骤s230，若认证结果为认证成功，则通知用户设备上线，将接收到的用户设备的数据报文通过转发通道转发至相应的pe。

可见，图2所示的方法，基于可拓展虚拟局域网vxlan的接入电路ac口，在up设备上为用户设备建立与cp设备直接的认证通道和与pe之间的转发通道，实现了将不同的报文通过不同通道转发至不同的目标设备。该技术方案实现了在转控分离的bras组网下实现l2vpn用户流量的正确转发，并同时不影响正常的用户控制和验证、计费等。

在本公开的一个实施例中，上述方法中，基于可拓展虚拟局域网vxlan的接入电路ac口，为用户设备建立与cp设备间的认证通道，以及为用户设备建立与远端边缘路由器pe间的转发通道包括：为用户设备建立一个虚拟交换实例vsi，将该vsi与ac口进行绑定；对ac口进行复用，建立ac口与cp设备间的认证通道，以及建立ac口和pe间的伪线pw作为转发通道。

在本实施例中巧妙地利用了进行三层转发的ac口，对其进行复用，使其既可以作为vxlan的ac口，也可以作为l2vpn的ac口。具体来说，还是需要为用户设备先建立一个vsi，之后在这个实例中再建立一个与pe之间的pw，一种配置方法如下所示：

vsivpn1

gatewayvsi-interface1

vxlan400

tunnel4

peer1.1.1.1pw-id500

上述命令实现了两部分内容：1)完成了vxlan的配置，用于和cp设备建立连接，也就是形成认证通道；2)完成了l2vpn的配置，用于和远端pe建立l2vpn的pw。

在上述配置下，只要该vsi实例的物理端口up，那么接收到的认证报文会正常上送至cp设备，以ipoe用户为例，用于建立ipoee的会话(session)，认证成功并建立session后，再接收到该用户的数据报文就会正常透传，不再上送至cp设备。

具体来说，远端pe可以是图1中的cr。

在本公开的一个实施例中，上述方法还包括：将vsi虚接口的接口索引转换为ac口的接口索引。将vsi虚接口的接口索引转换为ac口的接口索引，可以实现vsi虚接口和ac口之间转换关系的正确适配。

在本公开的一个实施例中，上述方法还包括：为vsi虚接口绑定bras业务，在inlif表中设置bras标记和l2vpn业务流量统计标记。在inlif表中设置bras标记和l2vpn业务流量统计标记可以保证bras和l2vpn业务的正常实施。

在本公开的一个实施例中，上述方法还包括：若认证结果为认证成功，则向cp设备发送计费请求，以及更改用户设备的状态；状态包括初始状态和上线状态；将接收到的用户设备的数据报文通过转发通道转发至相应的pe包括：将上线状态下的用户设备发送的数据报文通过转发通道转发至相应的pe。

参照图3示出的ipoe(internetprotocoloverethernet，以太网网际协议拨号)用户认证过程，当触发认证后，将接收到的ipoe用户发送的dhcp(dynamichostconfigurationprotocol，动态主机配置协议)报文通过认证通道上送到cp设备，通过cp设备完成aaa认证，认证通过后下发accept，即认证成功的认证结果，并为用户下发相关属性，此时up设备通知用户设备上线，并向cp设备发送计费请求。在本实施例中，只需要根据是否认证通过来对用户设备的状态进行区分，举例来说，为用户设备设置初始状态(init)和上线状态(online)两个状态，在init状态下接收到的报文都通过vxlan通道(即认证通道)上送至cp设备，进行认证；认证通过后，将该用户设备的状态更改为online，之后接收到的该用户设备的报文都通过pw转发至远端pe。

图4示出了根据本公开一个实施例的一种二层虚拟专用网络l2vpn的数据转发装置的结构示意图。该装置可应用于宽带远程接入服务器bras的设备中，bras包括up和控制平面cp，例如参照图1，所述设备是up设备。如图4所示，二层虚拟专用网络l2vpn的数据转发装置400包括：

通道建立单元410，用于对于连接up设备的各l2vpn用户设备，基于可拓展虚拟局域网vxlan的接入电路ac口，分别为用户设备建立与cp设备间的认证通道，以及为用户设备建立与远端边缘路由器pe间的转发通道。

数据转发单元420，用于接收用户设备的认证报文，将认证报文通过认证通道转发给相应的cp设备，接收cp设备返回的认证结果，若认证结果为认证成功，则通知用户设备上线，将接收到的用户设备的数据报文通过转发通道转发至相应的pe。

可见，图4所示的装置，基于可拓展虚拟局域网vxlan的接入电路ac口，在up设备上为用户设备建立与cp设备直接的认证通道和与pe之间的转发通道，实现了将不同的报文通过不同通道转发至不同的目标设备。该技术方案实现了在转控分离的bras组网下实现l2vpn用户流量的正确转发，并同时不影响正常的用户控制和验证、计费等。

在本公开的一个实施例中，上述装置中，通道建立单元410，用于为用户设备建立一个虚拟交换实例vsi，将该vsi与ac口进行绑定，对ac口进行复用，建立ac口与cp设备间的认证通道，以及建立ac口和pe间的伪线pw作为转发通道。

在本公开的一个实施例中，上述装置中，通道建立单元410，还用于将vsi虚接口的接口索引转换为ac口的接口索引。

在本公开的一个实施例中，上述装置中，通道建立单元410，还用于为vsi虚接口绑定bras业务，在inlif表中设置bras标记和l2vpn业务流量统计标记。

在本公开的一个实施例中，上述装置中，数据转发单元420，还用于若认证结果为认证成功，则向cp设备发送计费请求，以及更改用户设备的状态；状态包括初始状态和上线状态；以及用于将上线状态下的用户设备发送的数据报文通过转发通道转发至相应的pe。

本公开提供的二层虚拟专用网络l2vpn的数据转发装置400可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，可通过处理器510将非易失性存储器550中与二层虚拟专用网络l2vpn的数据转发装置400对应的机器可执行指令读取到易失性存储器540中运行。

从硬件层面而言，如图5所示，为本公开一个实施例的一种电子设备硬件的结构示意图，除了图5所示的处理器510、内部总线520、网络接口530、易失性存储器540以及非易失性存储器550之外，根据该电子设备的实际功能，还可以包括其他硬件，对此不再赘述。该电子设备可以是up设备，具体来说可以是高端路由器。

在不同的实施例中，非易失性存储器550可以是：存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。易失性存储器540可以是：ram(radomaccessmemory，随机存取存储器)。

进一步，非易失性存储器550和易失性存储器540作为机器可读存储介质，其上可存储由处理器510执行的运营商级的二层虚拟专用网络l2vpn的数据转发装置400对应的机器可执行指令。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可，这里不再复述。以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

综上所述，本公开的技术方案，基于可拓展虚拟局域网vxlan的接入电路ac口，在up设备上为用户设备建立与cp设备直接的认证通道和与pe之间的转发通道，实现了将不同的报文通过不同通道转发至不同的目标设备。该技术方案实现了在转控分离的bras组网下实现l2vpn用户流量的正确转发，并同时不影响正常的用户控制和验证、计费等。

以上所述仅为本公开的较佳实施例而已，并非用于限定本公开的保护范围。凡在本公开的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本公开的保护范围内。