一种数据传输方法及网络设备的制造方法

一种数据传输方法及网络设备的制造方法
【专利摘要】本发明实施例公开了一种数据传输方法及网络设备，该数据传输方法应用于虚拟用户驻地设备vCPE，所述vCPE支持二层数据转发功能，该方法包括：接收来自第一家庭终端的第一报文，所述第一报文包括第一家庭标识；若所述第一报文是与所述第一家庭标识匹配的第一家庭的第一个报文，向远程用户拨号认证服务器RADIUS发送家庭认证请求；接收所述RADIUS返回的家庭认证成功信息；若接收到来自所述第一家庭终端的第二报文，向增值业务平台VSP服务器发送所述第二报文。实施本发明实施例可以提高网络的安全性。
【专利说明】
-种数据传输方法及网络设备
技术领域
[0001 ]本发明设及通信技术领域，尤其设及一种数据传输方法及网络设备。
【背景技术】
[0002] 目前，虚拟用户驻地设备（virtual Qistomer Premise Equipment，vCPE)主要用 于支持Ξ层数据转发功能，而二层数据转发功能依赖于硬件设备。基于vCPE架构，运营商可 W将家庭下的终端（如智能手机）和增值业务平台（Value-added Service Platfo;rm，VSP) 加入到同一个虚拟专用网络(Virtual Private Network，VPN)中，W实现终端与VSP之间的 二层互通，运样，家庭下的终端就可W通过数字生活(Digital Living化twork Alliance, 化ΝΑ)协议，直接播放云端音乐、视频。然而，现有的vCPE架构中，终端与VSP的运种互通方 式，家庭下的终端可W直接访问网络，不同家庭间可W互相通信，运很容易造成网络攻击， 存在一定的安全隐患。

【发明内容】

[0003] 本发明实施例提供了一种数据传输方法及网络设备，可W提高网络的安全性。
[0004] 本发明实施例第一方面公开了一种数据传输方法，应用于虚拟用户驻地设备 vCPE，所述vC阳支持二层数据转发功能，包括：
[0005] 接收来自第一家庭终端的第一报文，所述第一报文包括第一家庭标识，其中，该第 一家庭标识可W为QinQ信息，该QinQ信息用于表示第一家庭的信息(如物理位置信息）；
[0006] 若所述第一报文是与所述第一家庭标识匹配的第一家庭的第一个报文，向远程用 户拨号认证服务器RADIUS发送家庭认证请求；
[0007] 接收所述RADIUS返回的家庭认证成功信息；
[000引若接收到来自所述第一家庭终端的第二报文，向增值业务平台VSP服务器发送所 述第二报文。
[0009] 可见，vWE在接收到第一家庭终端发送的第一报文之后，vCPE可W通过第一家庭 标识来识别第一家庭，若第一报文是第一家庭的第一个报文，vCPE需要对该第一家庭请求 认证，若该第一家庭认证通过，才可W向VSP服务器发送报文，运样第一家庭终端才可W访 问网络，从而提高网络的安全性。
[0010] 在一种可能的实施方式中，所述BRAS接收所述RADIUS返回的家庭认证成功信息之 后，所述方法还包括：
[0011] 创建多播转发表项，所述多播转发表项包括多播匹配项与至少两个接口之间的关 联关系，所述多播匹配项包括所述第一家庭标识和所述第一家庭所属的第一虚拟专用网络 VPN信息，所述至少两个接口包括去往所述第一家庭终端的接口和去往所述VSP服务器的接 口，所述多播转发表项用于基于所述第一家庭的多播报文转发。
[0012] 在一种可能的实施方式中，若接收到来自所述第一家庭终端的第二报文，向增值 业务平台VSP服务器发送所述第二报文包括：
[0013] 接收来自所述第一家庭终端的第二报文，所述第二报文包括第一目的MAC地址、所 述第一家庭标识W及所述第一 VPN信息；
[0014] 若所述第一目的MAC地址为多播MC地址，确定所述第二报文的报文转发方式为基 于所述第一家庭的多播报文转发；
[0015] 从所述多播转发表项中获取与所述第一家庭标识W及所述第一 VPN信息关联的所 述去往所述VSP服务器的接口；
[0016] 经由所述去往所述VSP服务器的接口向增值业务平台VSP服务器发送所述第二报 文。
[0017] 可见，在该实施方式中，vCPE创建多播转发表项之后，可W基于家庭粒度对多播报 文进行精确复制，W实现多播报文转发，不会造成跨家庭的多播报文转发，从而可W解决家 庭之间MAC地址重叠导致报文无法正常转发的问题，同时，还可W减少不同家庭间的网络攻 击，节省网络带宽。
[0018] 在一种可能的实施方式中，所述方法还包括：
[0019] 接收所述VSP服务器针对所述第二报文返回的第一响应报文，所述第一响应报文 包括第二目的MAC地址、所述第一家庭标识W及所述第一 VPN信息；
[0020] 若所述第二目的MAC地址为多播MC地址，确定所述第二响应报文的报文转发方式 为基于所述第一家庭的多播报文转发；
[0021] 从所述多播转发表项中获取与所述第一家庭标识W及所述第一 VPN信息关联的所 述去往所述第一家庭终端的接口；
[0022] 经由所述去往所述第一家庭终端的接口向所述第一家庭终端发送所述第一响应 报文。
[0023] 其中，在该实施例中，vCPE可W通过第一家庭标识来识别第一家庭，针对VSP服务 器返回的第一响应报文，vCPE可W使用之前创建的多播转发表项来进行多播报文转发。
[0024] 在一种可能的实施方式中，所述接收所述RADIUS返回的家庭认证成功信息之后， 所述方法还包括：
[0025] 创建所述第一家庭终端的第一单播转发表项，所述第一单播转发表项包括第一单 播匹配项与去往所述第一家庭终端的接口之间的关联关系，所述第一单播匹配项包括所述 第一家庭标识、所述第一家庭所属的第一虚拟专用网络VPN信息和所述第一家庭终端的MAC 地址，所述第一单播转发表项用于基于所述第一家庭终端的单播报文转发。
[00%]在一种可能的实施方式中，所述方法还包括：
[0027]接收所述VSP服务器针对所述第二报文返回的第二响应报文，所述第二响应报文 包括第Ξ目的MAC地址、所述第一家庭标识W及所述第一 VPN信息；
[00%]若所述第Ξ目的MAC地址为所述第一家庭终端的MAC地址，确定所述第二响应报文 的报文转发方式为基于所述第一家庭终端的单播报文转发；
[0029] 从所述第一单播转发表项中获取与所述第一家庭终端的MAC地址、所述第一家庭 标识W及所述第一 VPN信息关联的所述去往所述第一家庭终端的接口；
[0030] 经由所述去往所述第一家庭终端的接口向所述第一家庭终端发送所述第二响应 报文。
[0031] 其中，在该实施例中，vCPE可W通过第一家庭标识来识别第一家庭，vCPE创建第一 家庭终端的第一单播转发表项之后，针对VSP服务器返回的第二响应报文，vCPE可w使用第 一单播转发表项来进行单播报文转发。
[0032] 在一种可能的实施方式中，所述若接收到来自所述第一家庭终端的第二报文，向 增值业务平台VSP服务器发送所述第二报文包括：
[0033] 接收来自所述第一家庭终端的第二报文，所述第二报文包括第四目的MAC地址、所 述第一家庭标识W及第一虚拟专用网络VPN信息；
[0034] 若所述第四目的MAC地址为增值业务平台VSP服务器的MAC地址，确定所述第二报 文的报文转发方式为基于所述VSP服务器的单播报文转发；
[0035] 从预先学习的服务器单播转发表项中获取与所述VSP服务器的MAC地址、
[0036] 所述第一家庭标识W及所述第一 VPN信息关联的去往所述VSP服务器的接口；
[0037] 经由所述去往VSP服务器的接口向所述VSP服务器发送所述第二报文。
[0038] 其中，在该实施例中，vCPE可W通过第一家庭标识来识别第一家庭，针对第一家庭 终端发送的第二报文，可W使用预先学习的服务器单播转发表项来进行单播报文转发。
[0039] 在一种可能的实施方式中，所述方法还包括：
[0040] 接收来自第二家庭终端的第Ξ报文，所述第Ξ报文包括第二家庭标识、与所述第 二家庭标识匹配的第二家庭所属的第二虚拟专用网络VPN信息W及所述第二家庭终端的 MAC地址;其中，若第二家庭与第一家庭一致时，第二VPN信息与第一VPN信息相同；若第二家 庭与第一家庭不一致时，第二VPN信息与第一VPN信息可能相同，比如:第二家庭与第一家庭 为位于同一个VPN下的两个不同家庭，或者，第二VPN信息与第一VPN信息可能不相同，比如： 第二家庭与第一家庭为分别位于两个不同VPN下的两个家庭。
[0041 ]判断所述第二家庭标识与所述第一家庭标识是否一致；
[0042] 若是，确定所述第二家庭与所述第一家庭一致；
[0043] 创建所述第二家庭终端的第二单播转发表项，所述第二单播转发表项包括第二单 播匹配项与去往所述第二家庭终端的接口之间的关联关系，所述第二单播匹配项包括所述 第二家庭标识、所述第二VPN信息和所述第二家庭终端的MAC地址，所述第二单播转发表项 用于基于所述第二家庭终端的单播报文转发。
[0044] 其中，在该实施例中，若第二家庭标识与第一家庭标识一致，表明第一家庭与第二 家庭一致，即可W表明第一家庭终端与第二家庭终端为同一个家庭下的终端，而第一家庭 在之前已经进行认证了，故此时，vC阳接收到第二家庭终端发送的第Ξ报文之后，就不需要 对第二家庭终端所属的第二家庭进行认证了，就可W直接创建第二家庭终端的第二单播转 发表项。
[0045] 本发明实施例第二方面公开了一种网络设备，所述网络设备包括用于执行本发明 实施例第一方面任一方法的部分或全部步骤的功能单元。其中，该网络设备可W为集成有 虚拟用户驻地设备vCPE的物理的远程宽带接入服务器BRAS;或者，该网络设备也可W为集 成有虚拟远程宽带接入服务器vBRAS和vCPE的具有通用硬件结构的物理服务器。其中，该网 络设备执行vCPE的功能，在执行第一方面任一方法的部分或全部步骤时可W提高网络的安 全性。
[0046] 本发明实施例第Ξ方面公开了一种网络设备，所述网络设备包括：处理器、接收 器、发送器W及存储器，所述存储器被配置用于存储指令，所述处理器被配置用于运行所述 指令，所述处理器运行所述指令w执行本发明实施例第一方面任一方法的部分或全部步 骤。其中，该网络设备执行第一方面任一方法的部分或全部步骤时可W提高网络的安全性。
[0047]本发明实施例第四方面公开了一种计算机存储介质，所述计算机存储介质存储有 程序，所述程序具体包括用于执行本发明实施例第一方面任一方法的部分或全部步骤的指 令。
[004引可见，本发明实施例中，vCPE在接收到第一家庭终端发送的第一报文之后，vCPE可 W通过第一家庭标识来识别第一家庭，若第一报文是第一家庭的第一个报文，vWE需要对 该第一家庭请求认证，若该第一家庭认证通过，才可W向VSP服务器发送报文，运样第一家 庭终端才可W访问网络，从而提高网络的安全性。
【附图说明】
[0049] 为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使 用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于 本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可W根据运些附图获得其他 的附图。
[0050] 图1是本发明实施例公开的一种数据传输系统的网络构架示意图；
[0051 ]图2是本发明实施例公开的一种数据传输方法的流程示意图；
[0052] 图2.1是本发明实施例公开的一种QinQ帖封装格式的报文结构示意图；
[0053] 图3是本发明实施例公开的一种网络设备的结构示意图；
[0054] 图4是本发明实施例公开的另一种网络设备的结构示意图；
[0055] 图5是本发明实施例公开的另一种网络设备的结构示意图；
[0056] 图6是本发明实施例公开的另一种网络设备的结构示意图。
【具体实施方式】
[0057] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完 整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于 本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例，都属于本发明保护的范围。
[0058] 本发明的说明书和权利要求书及上述附图中的术语"第一"、"第二"和"第等是 用于区别不同对象，而不是用于描述特定顺序。此外，术语"包括"和"具有及它们任何变 形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或 设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选 地还包括对于运些过程、方法、产品或设备固有的其它步骤或单元。
[0059] 在本文中提及"实施例"意味着，结合实施例描述的特定特征、结构或特性可W包 含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同 的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和 隐式地理解的是，本文所描述的实施例可W与其它实施例相结合。
[0060] 本发明实施例公开了一种数据传输方法及网络设备，可W提高网络的安全性。W 下分别进行详细说明。
[0061] 为了更好理解本发明实施例公开的一种数据传输方法，下面先对本发明实施例适 用的网络架构进行描述。请参见图1，图1是本发明实施例公开的一种数据传输系统的网络 架构示意图。如图1所示，该数据传输系统可W包括:家庭终端、虚拟用户驻地设备(virtual Customer Premise Equipment, vCPE)W 及增值业务平台（Value-added Service Platform，VSP)服务器。在图1所示的网络架构中，可W基于家庭粒度，将家庭终端和VSP月良 务器加入同一个虚拟专用网络(Virtual Private化twork，VPN)中，家庭终端和VSP可W看 成是家庭的成员。
[0062] 其中，家庭终端可W包括二层WE和用户终端，该二层WE为具有物理硬件结构的 CPE设备，该二层C阳具有二层桥接功能，不具有Ξ层和/或Ξ层W上功能（如路由、防火墙、 NAT等功能）；用户终端可W包括但不限于智能手机、笔记本电脑、个人计算机(Personal Computer,PC)、个人数字助理（Personal Digital Assistant,PDA)、移动互联网设备 (Mobile Internet Device,MID)、智能穿戴设备(如智能手表、智能手环)等各类电子设备。
[0063] 其中，vCPE为支持二层数据转发功能的应用软件，可选地，vCPE也可W为既支持二 层数据转发功能，又支持Ξ层和/或Ξ层W上功能的应用软件。vC阳可W集成在物理的远程 宽带接入服务器(Broa化and Remote Access Server,BRAS)上，也可W与虚拟远程宽带接 入服务器（virtual化〇日化and Remote Access Server，vBRAS)-起集成部署在具有通用 硬件结构的物理服务器上，本发明实施例不做限定。在图1所示的网络架构中，vWE可W实 现传统的WE原来的用户管理和数据转发功能。此时，vWE会将同一个二层CPE所挂接的所 有用户终端，识别为同一个家庭下的终端，基于家庭认证和计费来访问网络。通常，vWE可 W使用家庭终端发送的报文中携带的家庭标识来识别家庭，该家庭标识可W为家庭的身份 信息，比如：QinQ信息，该QinQ信息用于表示家庭的物理位置信息，故vCPE可W将携带相同 家庭标识的家庭终端认为是同一个家庭的。
[0064] 其中，BRAS是面向宽带网络应用的新型接入网关，它位于骨干网的边缘层，可W完 成用户带宽的网络之间互连的协议（Internet Protocol，IP) W及异步传输模式 (Asynchronous Transfer Mode,ATM)网的数据接入，起到连接数字用户线路接入复用器 (Digital Subscriber Line Access Multiplexer,DSLAM)等接入层设备与骨干网的作用。 主要有两方面功能，一是网络承载功能：负责终结用户的W太网上的点对点协议。〇111*- to-Point Potocol Over EthernetJP化E)连接、汇聚用户的流量功能；二是控制实现功 能：与认证系统、计费系统和客户管理系统及服务策略控制系统相配合实现用户接入的认 证、计费和管理功能。BRAS上可W包括多个接口，比如：捆绑（Trunk)接口、GE(Gigabit Ethernet)接口，其中，一个接口可W绑定多个VLAN。
[0065] 其中，VSP服务器可W包括运营商的诊断服务器和提供增值业务的业务服务器，其 中，诊断服务器主要用于通过地址解析协议ARP、PINGW及端口扫描等操作来检测终端情 况，从而直接定位终端的大部分网络故障;业务服务器可W提供云端的各种资源，比如：音 乐、视频等。
[0066] 在图1所示的网络架构中，vCPE可W接收第一家庭终端发送的第一报文，若第一报 文是与第一家庭标识匹配的第一家庭的第一个报文，vC阳可W向远程用户拨号认证服务器 RADIUS发送家庭认证请求，进一步地，vC阳可W接收RADIUS返回的家庭认证成功信息;若接 收到来自第一家庭终端发送的第二报文，vCPE就可W向VSP服务器发送第二报文。可见，实 施图1所示的网络架构，可W实现基于vCPE家庭用户的虚拟交换机功能，实现家庭终端和 VSP服务器的二层互通，同时，当接收到第一家庭的第一个报文时，在对该第一家庭的认证 成功之后，vCPE才向VSP服务器发送报文，运样，第一家庭终端才可W访问网络，从而提高网 络的安全性。
[0067] 另外，基于vCPE架构，家庭终端和VSP服务器实现二层互通之后，家庭终端可W直 接播放云端音乐、视频，不需要安装APP应用软件，可W使得运营商部署增值业务更容易，减 少新业务部署成本，从而可W提高增值业务部署的简便性。此外，运营商利用诊断业务服务 器提供的诊断功能，通过地址解析协议ARP、PINGW及端口扫描等操作来检测终端情况，从 而直接定位家庭终端的大部分网络故障，从而可W减少网络的维护成本。
[0068] 需要说明的是，本领域技术人员可W理解，虽然图1中只示出了一个家庭终端和一 个VSP服务器，但并不构成对本发明实施例的限定，可W包括比图示更多的家庭终端和VSP 服务器。另外，图1还可W包括其他的设备，比如:远程用户拨号认证服务器RADIUS。
[0069] 请参见图2,图2是本发明实施例公开的一种数据传输方法的流程示意图。其中，该 数据传输方法是从第一家庭终端、vCPE、RADIUSW及VSP服务器多侧撰写的，该数据传输方 法可W基于图1所述的网络架构。如图2所示，该数据传输方法可W包括W下步骤。
[0070] 201、第一家庭终端向vC阳发送第一报文。
[0071] 本发明实施例中，该第一家庭终端可W为二层CPE，该二层WE为具有物理硬件结 构的CPE设备，该二层CPE具有二层桥接功能，不具有Ξ层和/或Ξ层W上功能(如路由、防火 墙、NAT等功能）；或者，该第一家庭终端也可W为用户终端，该用户终端可W包括但不限于 智能手机、笔记本电脑、个人计算机（Personal Computer，PC)、个人数字助理（Personal Digital Assis1:ant,PDA)、移动互联网设备(Mobile Internet Device,MID)、智能穿戴设 备(如智能手表、智能手环)等各类电子设备。
[0072] 该第一报文可W包括但不限于网络之间互连的协议（Internet Protocol, IP)报 文、地址解析协议（Address Resolution Protocol，ARP)报文和邻居发现（Neighbor Discovery，ND)报文。其中，该第一报文包括第一家庭标识，该第一家庭标识用于唯一表示 第一家庭的身份信息，比如:第一家庭ID、第一家庭的QinQ信息，该QinQ信息用于表示第一 家庭的物理位置信息。此外，可选的，该第一报文还可W包括VPN信息W及目的MAC地址。通 常，同一个家庭下的家庭终端发送的报文中携带的家庭标识和VPN信息均相同。比如:第一 家庭终端和VSP服务器位于同一个家庭中，则第一家庭终端发送的报文携带的家庭标识与 VSP服务器发送的报文携带的家庭标识相同，并且第一家庭终端发送的报文携带的VPN信息 与VSP服务器发送的报文携带的VPN信息也相同。
[0073] 其中，QinQ信息通常为报文中的两层虚拟局域网（Virtual Local Area化twork， VLAN)信息，QinQ是在传统802. IQ VLAN标签头化g的基础上再增加一层新的802. IQ VLAN标 签头了日邑。
[0074] 请一并参见图2.1，图2.1是本发明实施例公开的一种QinQ帖封装格式的报文结构 示意图。如图2.1所示，报文包括目的地址（Destination Address，DA)、源地址（Source Ad化ess，SA)、两层802. IQ Tag、长度/类型Lengh/Type、数据DATAW及帖校验序列（Frame Check Sequence，FCS)。其中，报文中携带的两层802. IQ Tag即QinQ信息。QinQ帖封装的过 程就是把单层802. IQ Tag的数据帖转换成双层802. IQ Tag的数据帖。通常，报文中的QinQ 信息是在二层C阳接入二层承载网络时打上去的，具有代表家庭的物理位置的信息，vCPE可 W根据报文中是否携带有相同QinQ信息来确定是否为是同一个家庭下的报文。举例来说， 所有外层vlan为1和内层vlan为2的报文，可W认为是同一个家庭下的报文。
[0075] 202、若第一报文是与第一家庭标识匹配的第一家庭的第一个报文，vCPE向RADIUS 发送家庭认证请求。
[0076] 本发明实施例中，vCPE接收到第一家庭终端发送的第一报文之后，vCPE可W根据 第一报文携带的第一家庭标识识别与第一家庭标识匹配的第一家庭是否创建多播转发表 项（即二层转发表项），若否，则vWE可W确定该第一报文是第一家庭的第一个报文。此时， vC阳需要向RADIUS发送家庭认证请求。其中，该家庭认证请求可W携带家庭标识(如QinQ信 息）、接口信息，其中，该接口信息可W为化unk接口信息、GE接口信息等。
[0077] 203、RADIUS向vCPE返回家庭认证成功信息。
[0078] 本发明实施例中，RADIUS可W预先存储运营商授权的每个家庭的家庭标识（如 QinQ信息)和接口信息。
[0079] RADIUS接收到vC阳发送的家庭认证请求之后，RADIUS可W根据家庭认证请求中携 带的家庭标识W及接口信息，判断家庭标识与运营商预先授权的家庭标识是否一致，W及 判断接口信息与运营商预先授权的接口信息是否一致，若二者均一致，则确定家庭认证成 功，RADIUS可W向vC阳返回家庭认证成功信息。
[0080] 可见，vWE在接收到第一家庭终端发送的第一报文之后，vCPE可W通过第一家庭 标识来识别第一家庭，若第一报文是第一家庭的第一个报文，vCPE需要对该第一家庭请求 认证，若该第一家庭认证通过，才可W向VSP服务器发送报文，运样第一家庭终端才可W访 问网络，从而提高网络的安全性。
[0081 ] 204、vC阳创建多播转发表项。
[0082] 本发明实施例中，vCPE接收到RADIUS返回的家庭认证成功信息之后，vWE可W创 建多播转发表项，其中，该多播转发表项包括多播匹配项与vCPE上的至少两个接口之间的 关联关系，该多播匹配项包括第一家庭标识和第一家庭所属的第一虚拟专用网络VPN信息， 该至少两个接口包括去往第一家庭终端的接口和去往VSP服务器的接口，该多播转发表项 用于基于第一家庭的多播报文转发。通常，去往第一家庭终端的接口只有一个，而去往VSP 服务器的接口可W有多个。
[0083] 其中，若vCPE集成在物理的BRAS上，则该至少两个接口可W为该物理BRAS上的物 理接口；若vC阳和vBRAS集成部署在一个具有通用硬件结构的物理服务器上，则该至少两个 接口可W为vBRAS上的虚拟接口，该vBRAS上的虚拟接口会映射到该物理服务器上的物理接 口上。
[0084] 请参见表1，表1是本发明实施例公开的一种多播转发表项。其中，该多播转发表项 为针对家庭的二层转发表项。如表1所示，多播匹配项包括VPN信息和QinQ信息，其中，VPN信 息用于标识家庭所在的虚拟专用网络VPN，QinQ信息用于标识家庭，通常，去往家庭终端的 接口只有一个，而去往VSP服务器的接口的数量为VSP服务器的数量，该表1可W表示多播匹 配项与vC阳上的至少两个接口之间的关联关系，该表1用于基于家庭的多播报文转发。
[0085] 表 1
[0086]
[0087] 通常，在创建表1之前，可W配置一个家庭部署表项，表1可W根据家庭部署表项来 维护。请参见表2，表2是本发明实施例公开的一种家庭部署表项。其中，一个VPN下有多个家 庭，每个家庭的QinQ信息不同，比如:家庭1的QinQ信息为1:1(即外层vlan为1，内层vlan为 1)，家庭2的QinQ信息为1:2,不同VSP服务器(如VSP1服务器和VSP2服务器)针对同一个家庭 (如家庭1)的QinQ信息与家庭(如家庭1)的QinQ信息一般相同。
[0088] 表 2
[0089]
[0090] vC阳创建多播转发表项之后，在同一个VPN中，vC阳就可W基于家庭粒度进行报文 转发。举例来说，家庭终端向VSP服务器发送的报文可W基于家庭进行多播报文转发，此外， VSP服务器向家庭终端返回的响应报文也可W基于家庭进行多播报文转发。
[0091] 其中，多播包括组播和广播。如果采用广播的方式传输，vWE会把报文转发给VPN 中的所有用户。广播一旦发出，不管他们是否需要，VPN中的任何设备（比如:家庭终端、VSP 服务器)都会接收到广播来的报文，即广播报文。广播报文是发送到该VPN中所有设备的报 文/帖。广播包在广播报文里描述目的MAC地址的数据是全置1的，是WMAC地址ff-ff-ff- ff-ff-ff的形式出现。
[0092] 如果采用组播的方式传输，VPN中的某些用户需要特定报文时，vCPE仅发送一次报 文，借助组播路由协议为组播数据包建立组播分发树，被传递的报文在距离终端尽可能近 的节点才开始复制和分发。其中，报文中的目的地址通常是一组主机，只有加入了组播组才 能收到该组所发出来的报文。组播包在组播报文里描述目的MAC地址的数据第8bit为1。
[0093] 205、vCPE创建第一家庭终端的第一单播转发表项。
[0094] 本发明实施例中，vWE可W为第一家庭终端创建第一单播转发表，该第一单播转 发表项包括第一单播匹配项与去往第一家庭终端的接口之间的关联关系，该第一单播匹配 项包括第一家庭标识、第一家庭所属的第一 VPN信息和第一家庭终端的MAC地址，该第一单 播转发表项用于基于第一家庭终端的单播报文转发。
[00%]请参见表3,表3是本发明实施例公开的一种单播转发表项。其中，该单播转发表项 为针对家庭终端的二层转发表项。如表3所示，单播匹配项包括VPN信息、QinQ信息和家庭终 端的MAC地址，其中，VPN信息用于标识家庭终端所属家庭所在的虚拟专用网络VPN，QinQ信 息用于标识家庭，通常，去往家庭终端的接口只有一个。该表3可W表示单播匹配项与去往 第一家庭终端的接口之间的关联关系。
[0096] 表 3
[0097]
[0098] 需要说明的是，步骤204和步骤205的执行顺序不受限制，可W同时执行，也可W先 执行204再执行205,或者先执行205再执行204。
[0099] 206、第一家庭终端向vCPE发送第二报文。
[0100] 本发明实施例中，在第一家庭认证成功之后，第一家庭终端向vCPE发送的第二报 文可W为业务报文，比如:语音报文、视频报文、图片报文等。其中，该第二报文可W包括第 一目的MAC地址、第一家庭标识W及第一 VPN信息。
[0101] 207、若第一目的MAC地址为多播MAC地址，vCPE确定第二报文的报文转发方式为基 于第一家庭的多播报文转发。
[0102] 本发明实施例中，报文中携带的目的MAC地址主要有两种，第一种为单播MC地址， 第二种为多播MAC地址。如果报文中携带的目的MAC地址为某个设备的地址（即单播MAC地 址），则表明该报文需要进行单播转发，如果报文中携带的目的MAC地址为多播MAC地址，贝U 表明该报文需要进行多播转发。
[0103] 本发明实施例中，vCPE接收到第一家庭终端发送的第二报文之后，vCPE可W根据 第二报文携带的第一目的MAC地址，确定第二报文的报文转发方式。举例来说，若第一目的 MC地址为单播MAC地址，则第二报文的报文转发方式为单播报文转发;若第一目的MAC地址 为多播MAC地址，则第二报文的报文转发方式为基于第一家庭的多播报文转发。其中，单播 报文转发可W为基于家庭终端的单播报文转发，也为可W基于VSP服务器的单播报文转发， 多播报文转发通常为基于家庭的多播报文转发。
[0104] 208、vCPE从多播转发表项中获取与第一家庭标识W及第一 VPN信息关联的去往 VSP服务器的接口。
[0105] 具体的，vCPE可W从多播转发表项(如表1)中查询与第一家庭标识W及第一 VPN信 息关联的多个接口，并从多个接口中去除第二报文对应的入接口（即接收到第二报文所通 过的家庭终端的接口），运样，vCPE就可W获取到去往VSP服务器的接口。
[0106] 举例来说，假设vCPE查询到的多个接口分别为接口 1~接口 10，其中，接口巧去往 家庭终端的接口，接口2~接口 10为去往VSP服务器的接口，vWE从接口 1接收到第二报文， 运里的"接口 Γ可W理解为第二报文对应的入接口 vCPE可W从接口 1~接口 10中去除接口 1，获得去往VSP服务器的接口，即接口 2~接口 10。
[0107] 209、vC阳经由去往VSP服务器的接口向VSP服务器发送第二报文。
[0108] 本发明实施例中，家庭终端和VSP服务器部署在同一个VPN中。vWE获取到与第一 家庭标识W及第一 VPN信息关联的去往VSP服务器的接口之后，vCPE可W在去往VSP服务器 的接口内进行第二报文的复制。举例来说，假设去往VSP服务器的接口为η个，则vCPE需要将 第二报文复制(n-2)次，此时，每个去往VSP服务器的接口均获得一份第二报文。进一步地， vCPE可W通过"剪枝优化算法"来屏蔽报文转发错误，即基于第二报文携带的家庭标识（如 QinQ信息)进行剪枝，避免第二报文转发到其他家庭。其中，"剪枝优化算法"就是通过某种 判断，避免一些不必要的遍历过程。
[0109] vCPE可W经由每个去往VSP服务器的接口向VSP服务器发送第二报文，运样，第一 家庭终端向vCPE发送的第二报文就可W转发给VSP服务器了，第一家庭终端就可W访问网 络了。
[0110] 可见，vCPE创建多播转发表项之后，可W基于家庭粒度对多播报文进行精确复制， W实现多播报文转发，不会造成跨家庭的多播报文转发，从而可W解决家庭之间MAC地址重 叠导致报文无法正常转发的问题，同时，还可W减少不同家庭间的网络攻击，节省网络带 宽。
[0111] 210、VSP服务器向vCPE发送针对第二报文返回的第二响应报文。
[0112] 其中，该第二响应报文包括第Ξ目的MAC地址、第一家庭标识W及第一VPN信息。
[0113] 211、若第Ξ目的MAC地址为第一家庭终端的MAC地址，vCPE确定第二响应报文的报 文转发方式为基于第一家庭终端的单播报文转发。
[0114] 212、vCPE从第一单播转发表项中获取与第一家庭终端的MAC地址、第一家庭标识 W及第一 VPN信息关联的去往第一家庭终端的接口。
[0115] 213、vCPE经由去往第一家庭终端的接口向第一家庭终端发送第二响应报文。
[0116] 作为一种可选的实施方式，本发明实施例中，可W用如下步骤代替206~209:
[0117] 11)第一家庭终端向vCPE发送第二报文，该第二报文包括第四目的MAC地址、第一 家庭标识W及第一 VPN信息。
[011引12)若第四目的MAC地址为VSP服务器的MAC地址，vC阳确定第二报文的报文转发方 式为基于VSP服务器的单播报文转发。
[0119] 13)vCPE从预先学习的服务器单播转发表项中获取与VSP服务器的MAC地址、第一 家庭标识W及第一 VPN信息关联的去往VSP服务器的接口。
[0120] 14)vC阳经由去往VSP服务器的接口向VSP服务器发送所述第二报文。
[0121] 在该可选的实施方式中，vCro可W预先基于ARP协议学习 VSP服务器的MAC地址对 应的服务器接口，并建立服务器单播转发表项。
[0122] 请参见表4,表4是本发明实施例公开的一种服务器单播转发表项。其中，该服务器 单播转发表项为针对VSP服务器的二层转发表项。如图4所示，单播匹配项包括VPN信息、 QinQ信息和VSP服务器的MAC地址，其中，VPN信息用于标识VSP服务器所属家庭所在的虚拟 专用网络VPN，QinQ信息用于标识家庭。该表4用于表示单播匹配项与去往VSP服务器的接口 之间的关联关系。
[012引 表4 「01241
[0125]当vC阳接收到第一家庭终端发送的第二报文之后，若第四目的MC地址为VSP服务 器的MAC地址，vCro就可W确定第二报文的报文转发方式为基于VSP服务器的单播报文转 发，进一步地，vWE就可W查询服务器单播转发表项（如表4)，W获取与VSP服务器的MAC地 址、第一家庭标识W及第一VPN信息关联的去往VSP服务器的接口，并经由去往VSP服务器的 接口向VSP服务器发送第二报文，运样第一家庭终端就可W访问网络了。
[0126] 作为另一种可选的实施方式，本发明实施例中，可W用如下步骤代替210~213:
[0127] 21)VSP服务器向vCPE发送针对第二报文返回的第一响应报文，该第一响应报文包 括第二目的MAC地址、第一家庭标识W及第一 VPN信息。
[012引22)若第二目的MAC地址为多播MAC地址，vCPE确定第二响应报文的报文转发方式 为基于第一家庭的多播报文转发。
[0129] 23)vCPE从多播转发表项中获取与第一家庭标识W及第一 VPN信息关联的去往第 一家庭终端的接口。
[0130] 24)vCPE经由去往第一家庭终端的接口向第一家庭终端发送第一响应报文。
[0131] 在该可选的实施方式中，vCPE接收VSP服务器针对第二报文返回的第一响应报文， 若第二目的MAC地址为多播MAC地址，vCPE可W确定第二响应报文的报文转发方式为基于第 一家庭的多播报文转发。vCPE可W从多播转发表项（如表1)中查询与第一家庭标识W及第 一VPN信息关联的多个接口，并从多个接口中去除第一响应报文对应的入接口（即接收到第 一响应报文所通过的VSP服务器的接口），运样，vWE就可W获取到去往第一家庭终端的接 口，并经由去往第一家庭终端的接口向第一家庭终端发送第一响应报文。
[0132] 作为另一种可选的实施方式，本发明实施例中，该数据传输方法还可W包括W下 步骤：
[0133] 31)第二家庭终端向vC阳发送第Ξ报文，该第Ξ报文包括第二家庭标识、与第二家 庭标识匹配的第二家庭所属的第二VPN信息W及第二家庭终端的MAC地址。
[0134] 32)vCPE判断第二家庭标识与第一家庭标识是否一致，若是，执行步骤33)，若否， 结束本流程。
[01巧]33) vC阳确定确定第二家庭与第一家庭一致。
[0136] 34)vCPE第二家庭终端的第二单播转发表项，该第二单播转发表项包括第二单播 匹配项与去往第二家庭终端的接口之间的关联关系，该第二单播匹配项包括第二家庭标 识、第二VPN信息和第二家庭终端的MAC地址，第二单播转发表项用于基于所述第二家庭终 端的单播报文转发。
[0137] 在该可选的实施方式中，vCPE接收到第二家庭终端发送的第Ξ报文之后，vWE可 W判断第二家庭标识与第一家庭标识是否一致，若是，vWE可W确定第二家庭与第一家庭 一致，即可W表明第一家庭终端与第二家庭终端为同一个家庭下的终端，而第一家庭终端 所属的第一家庭之前已经进行认证了，故此时，vWE接收到第二家庭终端发送的第Ξ报文 之后，就不需要对第二家庭终端所属的第二家庭进行认证了，vCPE可W为第二家庭终端创 建第二单播转发表项，其中，第二单播转发表项的具体形式与表3类似，在此不再寶述。当确 定第二家庭与第一家庭一致时，第二VPN信息与第一 VPN信息相同。
[0138] 可选的，若vCPE判断第二家庭标识与第一家庭标识不一致，vCPE可W确定第二家 庭与第一家庭不一致，即可W表明第一家庭终端与第二家庭终端为两个不同家庭下的终 端，此时，vWE需要向RADIUS发送针对第二家庭的家庭认证请求，待该第二家庭认证成功 后，该第二家庭终端才可W与VSP服务器进行通信，进而访问网络。其中，当确定第二家庭与 第一家庭不一致时，第二VPN信息与第一VPN信息可能相同，比如:第二家庭与第一家庭为位 于同一个VPN下的两个不同家庭，或者，第二VPN信息与第一VPN信息可能不相同，比如:第二 家庭与第一家庭为分别位于两个VPN下的两个家庭。
[0139] 可选的，在步骤33)之后，vWE可W接收到VSP服务器针对第Ξ报文返回的第Ξ响 应报文，进一步地，vC阳可W根据第Ξ响应报文携带的目的MC地址来确定第Ξ响应报文的 报文转发方式，若第Ξ响应报文的报文转发方式为基于第二家庭终端的单播报文转发， vC阳可W从第二单播转发表项中获取与第二家庭终端的MAC地址、第二家庭标识W及第二 VPN信息关联的去往第二家庭终端的接口，并经由去往第二家庭终端的接口向第二家庭终 端发送第Ξ响应报文。
[0140] 在图2所描述的方法流程中，vCPE在接收到第一家庭终端发送的第一报文之后，若 第一报文是第一家庭的第一个报文，vC阳需要对该第一家庭请求认证，若该第一家庭认证 通过，才可W向VSP服务器发送报文，运样第一家庭终端才可W访问网络，从而提高网络的 安全性。
[0141] 基于图1所示的网络架构，本发明实施例公开了一种网络设备。请参见图3,图3是 本发明实施例公开的一种网络设备的结构示意图，其中，该网络设备300执行虚拟用户驻地 设备vCPE的功能，可W用于执行图2所公开的数据传输方法中的全部或部分步骤，具体描述 请参照图2所描述的，在此不再寶述。如图3所示，该网络设备300可W包括：
[0142] 接收单元301，用于接收来自第一家庭终端的第一报文，所述第一报文包括第一家 庭标识；
[0143] 第一发送单元302,用于若所述第一报文是与所述第一家庭标识匹配的第一家庭 的第一个报文，向远程用户拨号认证服务器RADIUS发送家庭认证请求；
[0144] 所述接收单元301，还用于接收所述RADIUS返回的家庭认证成功信息；
[0145] 第二发送单元303,用于若接收到来自所述第一家庭终端的第二报文，向增值业务 平台VSP服务器发送所述第二报文。
[0146] 可选的，图3所示的网络设备300还可W包括：
[0147] 第一创建单元304,用于在所述接收单元301接收所述RADIUS返回的家庭认证成功 信息之后，创建多播转发表项，所述多播转发表项包括多播匹配项与至少两个接口之间的 关联关系，所述多播匹配项包括所述第一家庭标识和所述第一家庭所属的第一虚拟专用网 络VPN信息，所述至少两个接口包括去往所述第一家庭终端的接口和去往所述VSP服务器的 接口，所述多播转发表项用于基于所述第一家庭的多播报文转发。
[0148] 所述第二发送单元303可W包括：
[0149] 第一接收子单元3031，用于接收来自所述第一家庭终端的第二报文，所述第二报 文包括第一目的MAC地址、所述第一家庭标识W及所述第一 VPN信息；
[0150] 第一确定子单元3032,用于若所述第一目的MAC地址为多播MAC地址，确定所述第 二报文的报文转发方式为基于所述第一家庭的多播报文转发；
[0151] 第一获取子单元3033,用于从所述多播转发表项中获取与所述第一家庭标识W及 所述第一 VPN信息关联的所述去往所述VSP服务器的接口；
[0152] 第一发送子单元3034,用于经由所述去往所述VSP服务器的接口向增值业务平台 VSP服务器发送所述第二报文。
[0153] 可选的，所述接收单元301还用于接收所述VSP服务器针对所述第二报文返回的第 一响应报文，所述第一响应报文包括第二目的MAC地址、所述第一家庭标识W及所述第一 VP峭息；
[0154] 图3所示的网络设备300还可W包括：
[01W]第一确定单元305,用于若所述第二目的MAC地址为多播MAC地址，确定所述第二响 应报文的报文转发方式为基于所述第一家庭的多播报文转发；
[0156] 第一获取单元306,用于从所述多播转发表项中获取与所述第一家庭标识W及所 述第一 VPN信息关联的所述去往所述第一家庭终端的接口；
[0157] 所述第一发送单元302,还用于经由所述去往所述第一家庭终端的接口向所述第 一家庭终端发送所述第一响应报文。
[0158] 在图3所描述的网络设备300中，在接收到第一家庭终端发送的第一报文之后，若 第一报文是第一家庭的第一个报文，vC阳需要对该第一家庭请求认证，若该第一家庭认证 通过，才可W向VSP服务器发送报文，运样第一家庭终端才可W访问网络，从而提高网络的 安全性。
[0159] 基于图1所示的网络架构，本发明实施例公开了一种网络设备。请参见图4,图4是 本发明实施例公开的另一种网络设备的结构示意图，其中，该网络设备400执行虚拟用户驻 地设备vCPE的功能，可W用于执行图2所公开的数据传输方法中的全部或部分步骤，具体描 述请参照图2所描述的，在此不再寶述。如图4所示，该网络设备400可W包括：
[0160] 接收单元401，用于接收来自第一家庭终端的第一报文，所述第一报文包括第一家 庭标识；
[0161] 第一发送单元402,用于若所述第一报文是与所述第一家庭标识匹配的第一家庭 的第一个报文，向远程用户拨号认证服务器RADIUS发送家庭认证请求；
[0162] 所述接收单元401，还用于接收所述RADIUS返回的家庭认证成功信息；
[0163] 第二发送单元403，用于若接收到来自所述第一家庭终端的第二报文，向增值业务 平台VSP服务器发送所述第二报文。
[0164] 可选的，图4所示的网络设备400还可W包括：
[0165] 第二创建单元404,用于在所述接收单元接收所述RADIUS返回的家庭认证成功信 息之后，创建所述第一家庭终端的第一单播转发表项，所述第一单播转发表项包括第一单 播匹配项与去往所述第一家庭终端的接口之间的关联关系，所述第一单播匹配项包括所述 第一家庭标识、所述第一家庭所属的第一虚拟专用网络VPN信息和所述第一家庭终端的MAC 地址，所述第一单播转发表项用于基于所述第一家庭终端的单播报文转发。
[0166] 可选的，所述接收单元401还用于接收所述VSP服务器针对所述第二报文返回的第 二响应报文，所述第二响应报文包括第Ξ目的MAC地址、所述第一家庭标识W及所述第一 VP峭息；
[0167] 图4所示的网络设备400还可W包括：
[016引第二确定单元405,用于若所述第Ξ目的MAC地址为所述第一家庭终端的MAC地址， 确定所述第二响应报文的报文转发方式为基于所述第一家庭终端的单播报文转发；
[0169]第二获取单元406,用于从所述第一单播转发表项中获取与所述第一家庭终端的 MC地址、所述第一家庭标识W及所述第一 VPN信息关联的所述去往所述第一家庭终端的接 P;
[0170] 所述第一发送单元402,还用于经由所述去往所述第一家庭终端的接口向所述第 一家庭终端发送所述第二响应报文。
[0171] 在图4所描述的网络设备400中，在接收到第一家庭终端发送的第一报文之后，若 第一报文是第一家庭的第一个报文，vC阳需要对该第一家庭请求认证，若该第一家庭认证 通过，才可W向VSP服务器发送报文，运样第一家庭终端才可W访问网络，从而提高网络的 安全性。
[0172] 基于图1所示的网络架构，本发明实施例公开了一种网络设备。请参见图5,图5是 本发明实施例公开的另一种网络设备的结构示意图，其中，该网络设备500执行虚拟用户驻 地设备vCPE的功能，可W用于执行图2所公开的数据传输方法中的全部或部分步骤，具体描 述请参照图2所描述的，在此不再寶述。如图5所示，该网络设备500可W包括：
[0173] 接收单元501，用于接收来自第一家庭终端的第一报文，所述第一报文包括第一家 庭标识；
[0174] 第一发送单元502,用于若所述第一报文是与所述第一家庭标识匹配的第一家庭 的第一个报文，向远程用户拨号认证服务器RADIUS发送家庭认证请求；
[0175] 所述接收单元501，还用于接收所述RADIUS返回的家庭认证成功信息；
[0176] 第二发送单元503，用于若接收到来自所述第一家庭终端的第二报文，向增值业务 平台VSP服务器发送所述第二报文。
[0177] 可选的，图5所示的第二发送单元503可W包括：
[0178] 第二接收子单元5031，用于接收来自所述第一家庭终端的第二报文，所述第二报 文包括第四目的MAC地址、所述第一家庭标识W及第一虚拟专用网络VPN信息；
[0179] 第二确定子单元5032,用于若所述第四目的MAC地址为增值业务平台VSP服务器的 MAC地址，确定所述第二报文的报文转发方式为基于所述VSP服务器的单播报文转发；
[0180] 第二获取子单元5033,用于从预先学习的服务器单播转发表项中获取与所述VSP 服务器的MAC地址、所述第一家庭标识W及所述第一 VPN信息关联的去往所述VSP服务器的 接口；
[0181] 第二发送子单元5034,用于经由所述去往VSP服务器的接口向所述VSP服务器发送 所述第二报文。
[0182] 可选的，所述接收单元501，还用于接收来自第二家庭终端的第Ξ报文，所述第Ξ 报文包括第二家庭标识、与所述第二家庭标识匹配的第二家庭所属的第二虚拟专用网络 VPN信息W及所述第二家庭终端的MAC地址；
[0183] 图5所示的网络设备500还可W包括：
[0184] 判断单元504,用于判断所述第二家庭标识与所述第一家庭标识是否一致；
[0185] 第Ξ确定单元505,用于当所述判断单元504判断所述第二家庭标识与所述第一家 庭标识一致时，确定所述第二家庭与所述第一家庭一致；
[0186] 第Ξ创建单元506,用于创建所述第二家庭终端的第二单播转发表项，所述第二单 播转发表项包括第二单播匹配项与去往所述第二家庭终端的接口之间的关联关系，所述第 二单播匹配项包括所述第二家庭标识、所述第二VPN信息和所述第二家庭终端的MAC地址， 所述第二单播转发表项用于基于所述第二家庭终端的单播报文转发。
[0187] 在图5所描述的网络设备500中，在接收到第一家庭终端发送的第一报文之后，若 第一报文是第一家庭的第一个报文，vC阳需要对该第一家庭请求认证，若该第一家庭认证 通过，才可W向VSP服务器发送报文，运样第一家庭终端才可W访问网络，从而提高网络的 安全性。
[0188] 基于图1所示的网络架构，本发明实施例公开了一种网络设备。请参见图6,图6是 本发明实施例公开的另一种网络设备的结构示意图，其中，该网络设备600执行虚拟用户驻 地设备vCPE的功能，可W用于执行图2所公开的数据传输方法中的全部或部分步骤，具体描 述请参照图2所描述的，在此不再寶述。如图6所示，该网络设备600可W包括:至少一个处理 器601，例如CPlKCentral Processing Unit,中央处理器），至少一个接收器602、至少一个 发送器603W及存储器604,其中，所述处理器601、接收器602、发送器603W及存储器604分 别连接通信总线。存储器604可W是高速RAM存储器，也可W是非易失性的存储器（non? volatile memory) 。本领域技术人员可 W理解 ，图6 中示 出的网络设备 600的结构并不构成 对本发明的限定，它既可W是总线形结构，也可W是星型结构，还可W包括比图6所示的更 多或更少的部件，或者组合某些部件，或者不同的部件布置。
[0189] 其中，处理器601为网络设备600的控制中屯、，可W是中央处理器（Central Processing化it,CPU),处理器601利用各种接口和线路连接整个网络设备600的各个部 分，通过运行或执行存储在存储器604内的软件程序和/或模块，W及调用存储在存储器604 内存储的程序代码，用于执行W下操作：
[0190] 通过所述接收器602接收来自第一家庭终端的第一报文，所述第一报文包括第一 家庭标识；
[0191] 若所述第一报文是与所述第一家庭标识匹配的第一家庭的第一个报文，通过所述 发送器603向远程用户拨号认证服务器RADIUS发送家庭认证请求；
[0192] 通过所述接收器602接收所述RADIUS返回的家庭认证成功信息；
[0193] 若接收到来自所述第一家庭终端的第二报文，通过所述发送器603向增值业务平 台VSP服务器发送所述第二报文。
[0194] 可选的，所述通过所述接收器602接收所述RADIUS返回的家庭认证成功信息之后， 处理器601还可W调用存储在存储器604内存储的程序代码，用于执行W下操作：
[01M]创建多播转发表项，所述多播转发表项包括多播匹配项与至少两个接口之间的关 联关系，所述多播匹配项包括所述第一家庭标识和所述第一家庭所属的第一虚拟专用网络 VPN信息，所述至少两个接口包括去往所述第一家庭终端的接口和去往所述VSP服务器的接 口，所述多播转发表项用于基于所述第一家庭的多播报文转发。
[0196] 可选的，所述若接收到来自所述第一家庭终端的第二报文，通过所述发送器603向 增值业务平台VSP服务器发送所述第二报文包括：
[0197] 通过所述接收器602接收来自所述第一家庭终端的第二报文，所述第二报文包括 第一目的MAC地址、所述第一家庭标识W及所述第一 VPN信息；
[0198] 若所述第一目的MAC地址为多播MC地址，确定所述第二报文的报文转发方式为基 于所述第一家庭的多播报文转发；
[0199] 从所述多播转发表项中获取与所述第一家庭标识W及所述第一 VPN信息关联的所 述去往所述VSP服务器的接口；
[0200] 通过所述发送器603经由所述去往所述VSP服务器的接口向增值业务平台VSP服务 器发送所述第二报文。
[0201] 可选的，所述处理器601还可W调用存储在存储器604内存储的程序代码，用于执 行W下操作：
[0202] 通过所述接收器602接收所述VSP服务器针对所述第二报文返回的第一响应报文， 所述第一响应报文包括第二目的MAC地址、所述第一家庭标识W及所述第一 VPN信息；
[0203] 若所述第二目的MAC地址为多播MC地址，确定所述第二响应报文的报文转发方式 为基于所述第一家庭的多播报文转发；
[0204] 从所述多播转发表项中获取与所述第一家庭标识W及所述第一 VPN信息关联的所 述去往所述第一家庭终端的接口；
[0205] 通过所述发送器603经由所述去往所述第一家庭终端的接口向所述第一家庭终端 发送所述第一响应报文。
[0206] 可选的，所述通过所述接收器602接收所述RADIUS返回的家庭认证成功信息之后， 所述处理器601还可W调用存储在存储器604内存储的程序代码，用于执行W下操作：
[0207] 创建所述第一家庭终端的第一单播转发表项，所述第一单播转发表项包括第一单 播匹配项与去往所述第一家庭终端的接口之间的关联关系，所述第一单播匹配项包括所述 第一家庭标识、所述第一家庭所属的第一虚拟专用网络VPN信息和所述第一家庭终端的MAC 地址，所述第一单播转发表项用于基于所述第一家庭终端的单播报文转发。
[0208] 可选的，所述处理器601还可W调用存储在存储器604内存储的程序代码，用于执 行W下操作：
[0209] 通过所述接收器602接收所述VSP服务器针对所述第二报文返回的第二响应报文， 所述第二响应报文包括第Ξ目的MAC地址、所述第一家庭标识W及所述第一 VPN信息；
[0210] 若所述第Ξ目的MAC地址为所述第一家庭终端的MAC地址，确定所述第二响应报文 的报文转发方式为基于所述第一家庭终端的单播报文转发；
[0211] 从所述第一单播转发表项中获取与所述第一家庭终端的MAC地址、所述第一家庭 标识W及所述第一 VPN信息关联的所述去往所述第一家庭终端的接口；
[0212] 通过所述发送器603经由所述去往所述第一家庭终端的接口向所述第一家庭终端 发送所述第二响应报文。
[0213] 可选的，所述若接收到来自所述第一家庭终端的第二报文，通过所述发送器603向 增值业务平台VSP服务器发送所述第二报文包括：
[0214] 通过所述接收器602接收来自所述第一家庭终端的第二报文，所述第二报文包括 第四目的MAC地址、所述第一家庭标识W及第一虚拟专用网络VPN信息；
[021日]若所述第四目的mac地址为增值业务平台VSP服务器的MAC地址，确定所述第二报 文的报文转发方式为基于所述VSP服务器的单播报文转发；
[0216] 从预先学习的服务器单播转发表项中获取与所述VSP服务器的MAC地址、所述第一 家庭标识W及所述第一 VPN信息关联的去往所述VSP服务器的接口；
[0217] 通过所述发送器603经由所述去往VSP服务器的接口向所述VSP服务器发送所述第 二报文。
[0218] 可选的，所述处理器601还可W调用存储在存储器604内存储的程序代码，用于执 行W下操作：
[0219] 通过所述接收器602接收来自第二家庭终端的第Ξ报文，所述第Ξ报文包括第二 家庭标识、与所述第二家庭标识匹配的第二家庭所属的第二虚拟专用网络VPN信息W及所 述第二家庭终端的MAC地址；
[0220] 判断所述第二家庭标识与所述第一家庭标识是否一致；
[0221 ]若是，确定所述第二家庭与所述第一家庭一致；
[0222] 创建所述第二家庭终端的第二单播转发表项，所述第二单播转发表项包括第二单 播匹配项与去往所述第二家庭终端的接口之间的关联关系，所述第二单播匹配项包括所述 第二家庭标识、所述第二VPN信息和所述第二家庭终端的MAC地址，所述第二单播转发表项 用于基于所述第二家庭终端的单播报文转发。
[0223] 需要说明的是，对于前述的各个方法实施例，为了简单描述，故将其都表述为一系 列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因 为依据本申请，某一些步骤可W采用其他顺序或者同时进行。其次，本领域技术人员也应该 知悉，说明书中所描述的实施例均属于优选实施例，所设及的动作和单元并不一定是本申 请所必须的。
[0224] 在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述 的部分，可W参见其他实施例的相关描述。
[0225] 本领域普通技术人员可W理解实现上述实施例方法中的全部或部分流程，是可W 通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可读取存储介质 中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁 碟、光盘、只读存储记忆体（Read-Only Memoir，ROM)或随机存储记忆体（Random Access Memory，RAM)等。
[0226] W上所掲露的仅为本发明较佳实施例而已，当然不能W此来限定本发明之权利范 围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。
【主权项】
1. 一种数据传输方法，应用于虚拟用户驻地设备VCPE，所述vCPE支持二层数据转发功 能，其特征在于，包括： 接收来自第一家庭终端的第一报文，所述第一报文包括第一家庭标识； 若所述第一报文是与所述第一家庭标识匹配的第一家庭的第一个报文，向远程用户拨 号认证服务器RADIUS发送家庭认证请求； 接收所述RADIUS返回的家庭认证成功信息； 若接收到来自所述第一家庭终端的第二报文，向增值业务平台VSP服务器发送所述第 二报文。2. 根据权利要求1所述的方法，其特征在于，所述接收所述RADIUS返回的家庭认证成功 信息之后，所述方法还包括： 创建多播转发表项，所述多播转发表项包括多播匹配项与至少两个接口之间的关联关 系，所述多播匹配项包括所述第一家庭标识和所述第一家庭所属的第一虚拟专用网络VPN 信息，所述至少两个接口包括去往所述第一家庭终端的接口和去往所述VSP服务器的接口， 所述多播转发表项用于基于所述第一家庭的多播报文转发。3. 根据权利要求2所述的方法，其特征在于，所述若接收到来自所述第一家庭终端的第 二报文，向增值业务平台VSP服务器发送所述第二报文包括： 接收来自所述第一家庭终端的第二报文，所述第二报文包括第一目的MAC地址、所述第 一家庭标识以及所述第一 VPN信息； 若所述第一目的MAC地址为多播MAC地址，确定所述第二报文的报文转发方式为基于所 述第一家庭的多播报文转发； 从所述多播转发表项中获取与所述第一家庭标识以及所述第一 VPN信息关联的所述去 往所述VSP服务器的接口； 经由所述去往所述VSP服务器的接口向增值业务平台VSP服务器发送所述第二报文。4. 根据权利要求2或3所述的方法，其特征在于，所述方法还包括： 接收所述VSP服务器针对所述第二报文返回的第一响应报文，所述第一响应报文包括 第二目的MAC地址、所述第一家庭标识以及所述第一 VPN信息； 若所述第二目的MAC地址为多播MAC地址，确定所述第二响应报文的报文转发方式为基 于所述第一家庭的多播报文转发； 从所述多播转发表项中获取与所述第一家庭标识以及所述第一 VPN信息关联的所述去 往所述第一家庭终端的接口； 经由所述去往所述第一家庭终端的接口向所述第一家庭终端发送所述第一响应报文。5. 根据权利要求1所述的方法，其特征在于，所述接收所述RADIUS返回的家庭认证成功 信息之后，所述方法还包括： 创建所述第一家庭终端的第一单播转发表项，所述第一单播转发表项包括第一单播匹 配项与去往所述第一家庭终端的接口之间的关联关系，所述第一单播匹配项包括所述第一 家庭标识、所述第一家庭所属的第一虚拟专用网络VPN信息和所述第一家庭终端的MAC地 址，所述第一单播转发表项用于基于所述第一家庭终端的单播报文转发。6. 根据权利要求5所述的方法，其特征在于，所述方法还包括： 接收所述VSP服务器针对所述第二报文返回的第二响应报文，所述第二响应报文包括 第三目的MAC地址、所述第一家庭标识以及所述第一 VPN信息； 若所述第三目的MAC地址为所述第一家庭终端的MAC地址，确定所述第二响应报文的报 文转发方式为基于所述第一家庭终端的单播报文转发； 从所述第一单播转发表项中获取与所述第一家庭终端的MAC地址、所述第一家庭标识 以及所述第一 VPN信息关联的所述去往所述第一家庭终端的接口； 经由所述去往所述第一家庭终端的接口向所述第一家庭终端发送所述第二响应报文。7. 根据权利要求1所述的方法，其特征在于，所述若接收到来自所述第一家庭终端的第 二报文，向增值业务平台VSP服务器发送所述第二报文包括： 接收来自所述第一家庭终端的第二报文，所述第二报文包括第四目的MAC地址、所述第 一家庭标识以及第一虚拟专用网络VPN信息； 若所述第四目的MAC地址为增值业务平台VSP服务器的MAC地址，确定所述第二报文的 报文转发方式为基于所述VSP服务器的单播报文转发； 从预先学习的服务器单播转发表项中获取与所述VSP服务器的MAC地址、所述第一家庭 标识以及所述第一 VPN信息关联的去往所述VSP服务器的接口； 经由所述去往VSP服务器的接口向所述VSP服务器发送所述第二报文。8. 根据权利要求1~7任一项所述的方法，其特征在于，所述方法还包括： 接收来自第二家庭终端的第三报文，所述第三报文包括第二家庭标识、与所述第二家 庭标识匹配的第二家庭所属的第二虚拟专用网络VPN信息以及所述第二家庭终端的MAC地 址； 判断所述第二家庭标识与所述第一家庭标识是否一致； 若是，确定所述第二家庭与所述第一家庭一致； 创建所述第二家庭终端的第二单播转发表项，所述第二单播转发表项包括第二单播匹 配项与去往所述第二家庭终端的接口之间的关联关系，所述第二单播匹配项包括所述第二 家庭标识、所述第二VPN信息和所述第二家庭终端的MAC地址，所述第二单播转发表项用于 基于所述第二家庭终端的单播报文转发。9. 一种网络设备，其特征在于，包括： 接收单元，用于接收来自第一家庭终端的第一报文，所述第一报文包括第一家庭标识； 第一发送单元，用于若所述第一报文是与所述第一家庭标识匹配的第一家庭的第一个 报文，向远程用户拨号认证服务器RADIUS发送家庭认证请求； 所述接收单元，还用于接收所述RADIUS返回的家庭认证成功信息； 第二发送单元，用于若接收到来自所述第一家庭终端的第二报文，向增值业务平台VSP 服务器发送所述第二报文。10. 根据权利要求9所述的设备，其特征在于，所述网络设备还包括： 第一创建单元，用于在所述接收单元接收所述RADIUS返回的家庭认证成功信息之后， 创建多播转发表项，所述多播转发表项包括多播匹配项与至少两个接口之间的关联关系， 所述多播匹配项包括所述第一家庭标识和所述第一家庭所属的第一虚拟专用网络VPN信 息，所述至少两个接口包括去往所述第一家庭终端的接口和去往所述VSP服务器的接口，所 述多播转发表项用于基于所述第一家庭的多播报文转发。11. 根据权利要求10所述的设备，其特征在于，所述第二发送单元包括： 第一接收子单元，用于接收来自所述第一家庭终端的第二报文，所述第二报文包括第 一目的MAC地址、所述第一家庭标识以及所述第一 VPN信息； 第一确定子单元，用于若所述第一目的MAC地址为多播MAC地址，确定所述第二报文的 报文转发方式为基于所述第一家庭的多播报文转发； 第一获取子单元，用于从所述多播转发表项中获取与所述第一家庭标识以及所述第一 VPN信息关联的所述去往所述VSP服务器的接口； 第一发送子单元，用于经由所述去往所述VSP服务器的接口向增值业务平台VSP服务器 发送所述第二报文。12. 根据权利要求10或11所述的设备，其特征在于，所述接收单元还用于接收所述VSP 服务器针对所述第二报文返回的第一响应报文，所述第一响应报文包括第二目的MAC地址、 所述第一家庭标识以及所述第一 VPN信息； 所述网络设备还包括： 第一确定单元，用于若所述第二目的MAC地址为多播MAC地址，确定所述第二响应报文 的报文转发方式为基于所述第一家庭的多播报文转发； 第一获取单元，用于从所述多播转发表项中获取与所述第一家庭标识以及所述第一 VPN信息关联的所述去往所述第一家庭终端的接口； 所述第一发送单元，还用于经由所述去往所述第一家庭终端的接口向所述第一家庭终 端发送所述第一响应报文。13. 根据权利要求9所述的设备，其特征在于，所述网络设备还包括： 第二创建单元，用于在所述接收单元接收所述RADIUS返回的家庭认证成功信息之后， 创建所述第一家庭终端的第一单播转发表项，所述第一单播转发表项包括第一单播匹配项 与去往所述第一家庭终端的接口之间的关联关系，所述第一单播匹配项包括所述第一家庭 标识、所述第一家庭所属的第一虚拟专用网络VPN信息和所述第一家庭终端的MAC地址，所 述第一单播转发表项用于基于所述第一家庭终端的单播报文转发。14. 根据权利要求13所述的设备，其特征在于，所述接收单元还用于接收所述VSP服务 器针对所述第二报文返回的第二响应报文，所述第二响应报文包括第三目的MAC地址、所述 第一家庭标识以及所述第一 VPN信息； 所述网络设备还包括： 第二确定单元，用于若所述第三目的MAC地址为所述第一家庭终端的MAC地址，确定所 述第二响应报文的报文转发方式为基于所述第一家庭终端的单播报文转发； 第二获取单元，用于从所述第一单播转发表项中获取与所述第一家庭终端的MAC地址、 所述第一家庭标识以及所述第一 VPN信息关联的所述去往所述第一家庭终端的接口； 所述第一发送单元，还用于经由所述去往所述第一家庭终端的接口向所述第一家庭终 端发送所述第二响应报文。15. 根据权利要求9所述的设备，其特征在于，所述第二发送单元包括： 第二接收子单元，用于接收来自所述第一家庭终端的第二报文，所述第二报文包括第 四目的MAC地址、所述第一家庭标识以及第一虚拟专用网络VPN信息； 第二确定子单元，用于若所述第四目的MAC地址为增值业务平台VSP服务器的MAC地址， 确定所述第二报文的报文转发方式为基于所述VSP服务器的单播报文转发； 第二获取子单元，用于从预先学习的服务器单播转发表项中获取与所述VSP服务器的 MAC地址、 所述第一家庭标识以及所述第一 VPN信息关联的去往所述VSP服务器的接口； 第二发送子单元，用于经由所述去往VSP服务器的接口向所述VSP服务器发送所述第二 报文。16.根据权利要求1~7任一项所述的设备，其特征在于，所述接收单元还用于接收来自 第二家庭终端的第三报文，所述第三报文包括第二家庭标识、与所述第二家庭标识匹配的 第二家庭所属的第二虚拟专用网络VPN信息以及所述第二家庭终端的MAC地址； 所述网络设备还包括： 判断单元，用于判断所述第二家庭标识与所述第一家庭标识是否一致； 第三确定单元，用于当所述判断单元判断所述第二家庭标识与所述第一家庭标识一致 时，确定所述第二家庭与所述第一家庭一致； 第三创建单元，用于创建所述第二家庭终端的第二单播转发表项，所述第二单播转发 表项包括第二单播匹配项与去往所述第二家庭终端的接口之间的关联关系，所述第二单播 匹配项包括所述第二家庭标识、所述第二VPN信息和所述第二家庭终端的MAC地址，所述第 二单播转发表项用于基于所述第二家庭终端的单播报文转发。
【文档编号】H04L29/06GK106059994SQ201610286483
【公开日】2016年10月26日
【申请日】2016年4月29日
【发明人】李娟 , 牛承光
【申请人】华为技术有限公司