三层会话的接入方法、系统及设备的制作方法

专利名称：三层会话的接入方法、系统及设备的制作方法
技术领域：
本发明涉及通信技术领域，尤其涉及一种三层会话的接入方法、系统及 设备。
背景技术：
VPDN (Virtual Private Dial Network,虚拟私有拨号网)是指利用公 共网络的拨号功能实现虚拟专用网，从而为企业、小型NSP( Network Service Provider,网络服务提供商)、移动办公人员提供接入服务。VPDN采用专用 的网络加密通信协议，在^^共网络上为企业建立安全的虚拟专网。企业驻外 机构和出差人员可在远程经由公共网络，通过虚拟加密隧道实现和企业总部 之间的网络连接，而公共网络上其他用户则无法穿过虚拟隧道访问企业网内 部的资源。
目前使用最广泛的是L2TP (Layer Two Tunneling Protocol, 二层通道 协议)机制，PPP (Point to Point Protocol,点对点协议)通过L2TP接入 过程如图l所示，包括以下步骤
步骤sl01,远程用户使用内嵌PPPoE (PPP Over Ethernet,以太网承载 点对点协议)客户端的CPE (Customer Premises Equipment,用户驻地设备) 发起PPPoE呼叫，CPE与BNG (Broadband Network Gateway,宽带网络网关)、 BRAS (Broadband Remote Access Server,宽带远程接入服务器)等访问网 络的NAS(Network Access Server,网络接入服务器)，例如，LAC (L2TP Access Concentrator, L2TP访问集中器)设备协商建立PPPoE会话。
步骤sl02，所述的CPE向访问网络的NAS 1设备发起PPP认证。
步骤sl03,访问网络的NAS l设备请求访问网络的AAA (Authentication, Authorization and Accounting,验证、授权和计费)月l务器l进行接入认证 授权，同时获取用户的归属网络的信息，如用户归属网络的NAS 2设备地址，例如LNS (L2TP Network Server L2TP网络服务器)的IP地址。
步骤sl04， NAS (LAC) 1与用户归属网络的NAS 2设备(LNS )建立L2TP 隧道(Tu画l )。
步骤sl05，NAS 1设备将用户的PPP认证信息通过L2TP消息发往NAS 2 (LNS)进行用户认证。
步骤sl06， NAS 2设备请求用户归属网络的AAA服务器2进行用户接入认 证授权。
步骤sl07， AAA服务器2认证通过，授权隧道用户接入网络，NAS2设 备建立PPP会话和L2TP会话。用户使用PPP会话接入网络，并且使用业务。
PPP会话接入方式由于自身存在较多的局限，新的三层(如IP)会话 (Session)接入机制成为未来发展趋势，IP session代表了与一个用户的 IP地址关联的网络接入连接会话，IP Session与PPP会话对等，是基于IP 的Session, IPSession通常在IP边缘设备或NAS ( BNG/BRAS )设备上终结， 即IP Session在用户终端与IP边缘设备建立的一条会话连接。配置给接入 会话的IPi也址是识别IP Session的关4建，IPi也址一般通过DHCP( Dynamic Host Configuration Protocol,动态主才几配置协议)H务器动态分配，IPSession 用于网络对用户接入网络的管理，如计费等。
现有技术中，基于DHCP协议生成IP Session的过程如图2所示，包括 以下步骤
步骤s201, DHCP客户端发送DHCP Discovery消息。
步骤s202, 内嵌了 DHCP中继功能的接入节点(Access Node，AN)侦听到 所述的DHCP Discovery消息，在所述消息中插入接入位置信息，然后将该消 息转发给内嵌了 DHCP中继/代理AAA客户端功能的IP边缘设备。
步骤s203, IP边缘设备向AAA服务器发送接入请求。
步骤s204, AAA服务器向IP边缘设备发送接入确认。
步骤s205， IP边缘设备进行IP会话授权。
步骤s206, IP边缘设备向DHCP服务器发送DHCP Discovery消息。 步骤s207, DHCP服务器向IP边缘设备返回DHCP提供(Offer)消息。步骤s208， DHCP客户端向DHCP服务器发送DHCP请求消息。 步骤s209, DHCP服务器向DHCP客户端返回DHCP确认(Ack )消息，IP 会话建立。
在实现本发明的过程中，本发明发明人发现现有技术中存在以下缺点 IP接入会话没有提出VPDN的接入方法。

发明内容
本发明实施例提供一种三层会话的接入方法、系统及设备，通过统一的 三层会话接入实现访问网络和用户的归属网络二层链5^支术互通问题。 本发明实施例提供了一种三层会话的接入方法，包括以下步骤 会话传送协议STP本端设备接收和识别来自主机系统的控制报文或数据 报文；
所述STP本端设备将所述控制报文或数据报文映射成STP消息报文； 所述STP本端设备将所述的STP消息报文转发STP对端设备
本发明实施例还提供了一种三层会话的接入系统，包括
会话接入集中器SAC，，用于接收来自远程系统的报文，将所述报文映射 成会话传送协议STP消息报文，并将所述的STP消息报文转发到会话网络服 务器；将来自所述SNS的STP消息报文进行STP隧道终止，对于需要转发的 才艮文，进行链路层或物理层映射后向所述远程系统发送；
会话网络服务器，对来自SAC的STP消息报文进行隧道终止，并根据STP 报文首部对所述报文进行分类处理；将来自终端系统的三层数据报文的目的 地址映射到STP隧道上，通过STP隧道经SAC向远程系统发送。
本发明实施例还提供了 一种会话接入集中器SAC，包括
第一接收单元，用于接收远程系统的报文；
第一"^艮文处理单元，用于将所述"R文映射处理；
第一发送单元，用于将所述STP映射后的报文通过STP向会话网络服务 器SNS发送；
第二接收单元，用于接收来自所述SNS的STP消息报文；第二报文处理单元，用于对来自所述SNS的报文进行STP隧道终止，并
进行链路层或物理层映射；
第二发送单元，用于对于映射后的报文向所述远程系统发送。 本发明的实施例中，扩充了IP会话的应用场景，有效地解决了IP会话在
VPDN以及批发场景的应用技术限制。


图1是现有技术中PPP通过L2TP接入过程示意图2是现有技术中基于DHCP协议生成IP Session的过程示意图3是本发明实施例中实现三层会话接入方式的STP机制系统架构图4是本发明实施例中STP协议框架示意图5是本发明实施例中三层会话接入方式的VPDN或批发机制协议栈示意
图6是本发明实施例中STP协议栈封装格式示意图7是本发明实施例中另 一种STP协议栈封装格式示意图8是本发明实施例一中SAC (Session Access Concentrator,会话接
入集中器)工作在代理模式下采用STP建立IP session流程图9是本发明实施例中SAC工作在转交模式下采用STP建立IP session
流程图IO是本发明实施例中通过DHCP建立跨越访问网络的IP session流程
图11是本发明实施例中STP支持IP会话地址租期延续的处理流程图12是本发明实施例中SAC和SNS分别处理ARP请求流程图13是本发明实施例中SNS周期性的发送纟采测消息流程图14是本发明实施例中SAC发送探测消息流程图15是本发明实施例中SAC收到远程系统的报文处理流程图16是本发明实施例中SAC收到STP隧道的报文处理流程图。
9
具体实施例方式
本发明实施例中通过STP (Session Transport Protocol ，会话传送协 议)机制使用户使用三层接入会话跨越访问网络接入到用户的归属(签约) 网络。本发明实施例的实现三层会话接入的STP机制系统架构如图3所示，至 少包括主机系统(Host System) 、 SAC、 SNS ( Session Network Server,会 话网络服务器)。
主机系统至少包括远程系统(Remote Sys tern)、终端系统(End Sys tern)、 网络服务器之一，其中，远程系统(Remote System)中包括远程用户的终端 设备，包括CPE、 RG (Residential Gateway,家庭网关)、个人计算机、 无线终端等设备，终端系统包括本地(如归属网络内)用户的终端设备，包 括CPE、 RG等，网络服务器包括AAA (Authorization, Authentication and Accounting,认证授权计费)月l务器、DHCP (Dynamic Host Configuration Protocol,动态主机配置协议)服务器等。
SAC是访问网络的边缘设备，如网络接入服务器NAS或IP边缘设备，包 括网络业务路由器、网络接入网关、BNG、 BRAS、 LAC等设备，SAC属于访问网 络，SAC与远程系统之间可以采用L2 (二层)链路技术连接，例如以太网技 术、PBT (Provider Backbone/Backhaul Transport,运营骨干传输)技术， MPLS (Multi-Protocol Label Switch,多协议标记交换)技术等。SAC负责 与用户的归属网络SNS建立隧道(Tunnel ),转交SNS和用户远程系统之间传
递消息报文(包括数据报文和控制报文)，如将从远程系统收到的报文按 照STP协议进行映射封装并送往SNS，将从SNS收到的报文进行映射并送往远程系统。
SNS是SAC的对端设备，包括网络业务路由器、网络接入网关、BNG、 BRAS、 LNS等网络设备，是远程系统的接入会话(如IP session)的网络侧逻辑端点。 SNS负责控制和管理用户的接入会话，负责与访问网络建立通道传送用户的数 据。
SAC和SNS通过传送网络连接，SAC和SNS互为STP对端，即SAC为STP 本端设备，则SNS为STP对端设备，反之依然。SAC和SNS之间运行STP协议，SAC和SNS之间的业务仿真(emulated service )隧道建立在传送网络上，所 述的传送网络包括IP网络、以太网网络、ATM (Asynchronous Transfer Mode, 异步传输模式)网络、SDH (Synchronous Digital Hierarchy,同步数字体 系)网络、WDM (Wavelength Division Multiplexing,波分复用)网络、MPLS 网络等。SAC和SNS之间的业务仿真隧道可以静态部署，也可以根据接入会话 的指示触发动态创建。
本发明实施例中SAC和SNS之间运行STP机制，具体的STP实现可以采用RFC (请求注解)规定的协议，如L2TP协议、LDP协议、PW信令协议等。
在一个SNS和SAC对之间存在着两种类型的连接， 一种是隧道连接，定义 了一个SNS和SAC对；另一种是会话(Session)连接，复用在隧道连接之上， 用于表示承载在隧道连接中的每个三层会话(如IP session)过程。在同一 对SAC和SNS之间可以建立多个STP隧道，隧道由一个控制连接和一个或多个会 话(Session)组成。会话连接必须在隧道建立(包括身份保护、版本、帧类 型、硬件传输类型等信息的交换)成功之后进行，每个会话连接对应于SAC和 SNS之间的一个三层协议(IP)数据流。控制消息和三层(IP)数据包都在隧 道上传输。STP使用Hello报文来检测隧道的连通性。SAC和SNS定时向对端发 送Hello报文，若在一段时间内未收到Hello报文的应答，该隧道将会被拆除。
STP中存在两种消息控制消息和数据消息。控制消息用于隧道和/或会 话连接的建立、维护以及传输控制；数据消息则用于封装三层数据包或帧(数 据载荷，如远程系统和归属网络内终端系统通信的IP包)并在隧道上传输。 控制消息的传输可以是可靠传输，并且可以支持对控制消息的流量控制和拥 塞控制；而数据消息的传输可以是不可靠传输，如数据报文丟失，不予重 传，可以不支持对数据消息的流量控制和拥塞控制。STP数据和控制通道 (channel)是一个逻辑的概念，不一定是实际的传送隧道或路径，是一种信 息传送的机制，如表示一种可靠或不可靠的通道。
参考图4，是本发明实施例中的STP协议框架。STP控制消息和STP数据 消息使用类似的报文首部，如STP数据首部或STP控制首部，控制消息和数 据消息通过报文首部来识别。STP数据首部或STP控制首部中包含隧道标识符(Tunnel ID)或会话标识符(Session ID)信息，用来标识不同的隧道和会 话。隧道标识相同、会话标识不同的#^文将#1复用在一个隧道上。STP数据 首部或STP控制首部可以是一个逻辑的首部，即不一定在会话数据包(帧) 或STP控制消息和通道之间存在实际的数据位(field),实际的信息数据可 能包含在会话数据包(帧)或STP控制消息中。
参考图5，是本发明实施例中三层会话接入方式的VPDN或批发机制协议栈 示意图，描述了在三层会话接入方式的VPDN或批发机制系统的各个关^t设备 上的协议栈。其中，在远程系统和SAC之间的接入网络段、SAC与SNS之间的传 送隧道网络段、SNS与终端系统之间的归属网络段可能使用不同的二层链if各和 物理层链路，但是使用相同的三层网络，如IP网络。
远程系统将三层会话(IP session)数据(IP包载荷)承载到二层链路 技术或者直接承载到物理链路上，如IPoE (IP over Ethernet, IP包岸义载在 以太网)或IPoWDM (IP over WDM, IP包承载在波分复用上)报文，然后通过 物理链路发送到SAC;或者接收来自SAC的三层会话数据，如包含了IP包载荷 的IPoE报文。
SAC收到来自远程系统的报文，进行链路层或物理层的终止处理，包括 获取连接远程系统的二层链路或物理链路标识和从数据报文移除二层链路首 部提取远程系统的三层会话数据包或帧(IP包载荷)；然后SAC根据三层^i舌 数据包或帧的首部信息和/或二层链路或物理链路标识映射(对应)到STP隧 道和/或STP会话连接上；再将三层^^舌数据包或帧(IP包载荷)进行STP映射 适配(如控制消息或数据消息分类和STP适配)，包括增加STP报文首部，通 过STP隧道发送出去，其中，通过STP隧道发送包括适配传送隧道首部，然后 再通过物理层发送。STP传送隧道包括IP隧道、PBT隧道、MPLS隧道、SDH隧道 等。
SAC通过STP隧道收到来自SNS的STP消息^JL,首先进^f亍隧道终止处理， 包括获取隧道和/或会话连接信息；然后移除报文的隧道首部；然后根据STP 的报文首部进行分类处理，如果是STP控制消息报文，SAC本地或者交给专用 的STP控制消息报文处理设备或者远程系统处理STP控制消息报文，如果是STP数据消息报文，SAC获取三层会话数据(IP session )数据包(数据载荷IP包)， 然后根据STP会话标识(如数据栽荷IP包的目的IP地址)获取SAC连接远程系 统的二层链路或物理链路标识，然后进行链路层或物理层适配封装，然后再 发向远程系统。
SNS通过STP隧道收到来自SAQ艮文，首先进行隧道终止处理，包括获取隧 道和/或会话连接信息；然后移除报文的隧道首部；然后根据STP的报文首部 进行分类处理，如果是STP数据消息报文，如存在STP数据报文首部，移除报 文首部获取数据载荷，然后通过数据载荷的目的地址(目的IP地址)发送出 去，如果是STP控制消息报文，根据消息类型发送到相应的设备处理，如通过 RADIUS发送到AAA服务器处理或通过DHCP消息发送到地址服务器(DHCP服务 器)处理。
SNS收到来自网络内部其他终端系统的报文，获取报文的IP包载荷，将IP 包载荷目的地址(如IP地址)映射(对应)到STP隧道上，再将三层数据包或 帧(IP包载荷)进行STP适配，包括增加STP报文首部，通过STP隧道发送出去。
参考图6，是本发明实施例中STP协议栈封装格式。本实施例描述了STP使 用现有的L2TP v2以及V3封装。会话的三层报文为IP报文，用户使用IP session接入。STP控制消息报文和数据消息报文釆取相似或统一的L2TP封装 格式，通过L2TP首部(header)识别STP消息报文类型,详细的L2TP header (首部)参见RFC 2661和RFC 3931，控制消息和数据载荷直接封装在L2TP首 部上，所述的数据载荷包括IP报文，UDP首部域和IP (公网)首部域是L2TP V2 的隧道首部，消息报文的IP (公网)首部域或PW首部域是L2TP V3的隧道首部。
在L2TP V3封装上，数据消息"R文可以不显式地存在L2TP首部，即三层净艮 文与隧道首部之间没有实际的数据位(field)，数据消息和控制消息通过约定 的控制消息首部识别，如控制消息的L2TP首部第一个32位数据(4个连续字节) 为零，即移除隧道首部后的消息报文的第 一个32位数据为零的消息报文为控 制报文，不为零的为数据报文。由于直接将三层报文封装在在L2TP首部上或 者隧道首部上，极大提高了报文效率以及支持访问网络与归属网络的异构网 络。参考图7，是本发明实施例中另一种STP协议栈封装格式。由于数据消息 的数据载荷可以携带会话标识，如IP session的数据载荷的IP地址，数据消 息直接封装在传送隧道上，STP控制消息增加STP控制消息首部封装后在隧道 中传送。
控制消息报文和数据消息报文可以通过隧道首部(header)相关域识别， 如IP隧道IP首部(header)的协议字,更(I P首部的协议号)、PBT隧道的 PBT首部的类型字段和/或业务标签字段、PW隧道的PW首部标签和/或控制字 (Control word)字^^爻。STP数据消息^^文和控制消息^^艮文还可以通过约定的 STP控制首部识别，如控制消息的STP首部第一个32位(bit)数据为零，即移 除隧道首部后的消息报文的第 一个32位数据为零的消息报文为控制消息报 文，不为零的为数据消息报文(正常的IP报文的第一个32位(bit)数据不会 为零)。STP控制消息首部可以采用L2TP控制消息首部相似的格式，具体由实 现决定。
本发明实施例采用STP建立IP session过程中，SAC可以工作在两种才莫式 下PROXY (代理)模式或者RELAY(中转)模式。PROXY模式一般用于动态VPN 建立场景(VPDN)和批发场景，RELAY;f莫式一般应用在批发场景。PR0XY才莫式 或者RELAY模式区别在于对应会话接入的发现阶段消息过程处理方式不同，对 于PR0XY模式，SAC代理SNS同远程系统进行接入会话建立过程中的发现阶段的 交互协商，SAC代理了部分SNS功能；对于RELAY模式，SAC直接将来自远程系 统的接入会话建立过程中的发现阶段的交互消息转交给SNS进行处理，然后 SAC将SNS响应远程系统的消息转交给远程系统。在IP会话接入跟PANA结合使 用时，在PANA接入时，第一次地址配置过程也可以认为是发现阶段。远程系 统采用PANA时，代理模式的SAC负责为远程系同分配临时地址。
本发明实施例一是SAC工作在代理模式下釆用STP建立IP session过程， 如图8所示，包括以下步骤
步骤s801,远程系统与SAC进行接入会话发现协商。远程系统通过发现协 商发现网全^l妄入服务器，网^^入服务器为远程系统提供接入服务。代理模 式的SAC代理SNS与远程系统进行接入会话发现协商，即SAC代理SNS响应的远
14程系统发送的接入发现协商报文。如远程系统发送DHCP Discovery/Solicit 消息，SAC响应DHCP Offer/Advertise消息；远程系统发送PANA的 PANA-C1 ient—Ini t ia t ion消息，SAC响应PANA的PANA—Auth—Reques t消息；远 程系统发送802. lx的EAPoL Start消息,SAC响应EAPoL Request/ID消息。接 入会话发现协商过程是可选的过程，而且同具体的协商机制相关，如远程 系统通过PANA接入时，远程系统临时地址获取过程可以是接入^^舌发现协商， 即S AC可以为远程系统通过DHCP分配一个临时的地址。
步骤s802,远程系统与SAC进行接入会话建立协商。远程系统与网络接入 服务器协商建立接入会话，即远程系统与SNS协商建立接入会话。由于远程系 统与SNS位于不同的网络不能进行直接互通，远程系统与网络接入服务器协商 需要通过SAC中转。接入会话建立协商包括身份认证、地址分配、链路协商、 会话建立等。远程系统发送接入会话建立协商消息报文，该消息包括DHCP Request/Auth(认证)消息；或者PANA的PANA-Auth-Request/ PANA-Auth-Answer消息，或者802. lx的EAPoL Response消息等。
步骤s803, SAC才艮据远程系统发送的接入会话建立协商消息获取远程系统 的身份信息，如帐户名、链路标识等，SAC根据身份信息对远程系统进行身份 认证和授权，如发送Radius消息到访问网络的AAA服务器，访问网络的AAA服 务器认iiL授权通过，响应SAC,响应消息可能携带归属网络的信息，如隧道信 息(如对端IP地址)。
步骤s804, SAC与SNS协商建立STP隧道。如果SAC与SNS之间没有建立隧道 或没有空闲的隧道，则SAC与SNS协商建立STP隧道，例如通过L2TP建立L2TP 隧道、通过LDP建立MPLS或PW隧道、通过PBT信令建立PBT隧道、或者建立IPSec 隧道等。建立隧道的机制可以专用的机制，可以不属于STP协议；STP隧道可 以静态配置，如通过网管配置SAC到SNS的STP隧道。
步骤s805， SAC与SNS协商建立会话。SAC与SNS通过STP会话协商控制消息 协商建立、维持、拆除STP会话。SAC负责将远程系统发送的会话建立协商消 息映射到STP会话协商控制消息，然后通过STP隧道发送到SNS。 STP会话协商 控制消息包括L2TP协议的Incoming-Call-Request( ICRQ ) 、Incoming-Call-Reply ( ICRP ) 、 Incoming-Call-Co鹏cted ( ICCN )、 Outgoing-Call-Request ( OCRQ ) 、 Outgoing-Call-Reply ( OCRP )、 Outgoing-Cal卜Connected ( OCCN )消息。
步骤s806， SNS对远程系统进行身份认证和授权。SNS从STP会话协商控制 消息中获取远程系统的身份信息，SNS根据该身份信息对远程系统进行身份认 证和授权，归属网络的AAA服务器认证授权通过，响应SNS，响应消息可能携 带远程系统的三层接入会话的会话标识，如I P地址。
SNS指定STP会话和远程系统的接入会话标识(ID)，同时建立远程系统 接入会话标识到隧道以及STP会话标识的映射，然后通过STP会话协商控制消 息响应SAC。优选的STP会话标识可以采用远程系统接入会话相同的标识，如 IP地址。SAC根据收到的STP会话协商控制消息建立STP会话，同时建立STP会 话与远程系统接入^"i舌的映射，如建立远程系统接入会话标识(如IP地址) 和/或接入会话链路层或物理层标识到隧道以及STP会话标识的映射。接入会 话链路层或物理层标识包括接口标识、VLAN标识、PVC、 MAC地址、PBT链路等 等。SAC通过接入会话建立协商消息响应远程系统，指示接入会话建立完成， 如SAC通过DHCP ACK消息响应远程系统。
步骤s807,远程系统与归属网络内的设备进行数据通信(通过接入会话 传送数据)，SAC负责转交SNS和用户远程系统之间消息报文，把从远程系统 收到的消息报文按照STP协议进行封装并送往SNS,将从SNS收到的消息报文进 行解封装并送往远程系统。SNS收到来自网络内部其他终端系统的三层数据报 文，SNS将报文的目的地址(如IP地址)映射到STP隧道上，再进行三层数据 包或帧进行STP适配，包括增加STP报文首部，通过STP隧道发送出到远程系统。
步骤s808和步骤s809,会话拆除。包括远程系统发起接入会话拆除以及 SNS或SAC触发的会话拆除。如远程系统发送DHCP release消息、802. lxEAPOL logoff消息等。SAC和SNS拆除ST'P会话，删除接入会话与STP会话的映射关系， 拆除的会话是STP隧道的最后一条会话，则SAC和SNS拆除动态建立的STP隧道。
本发明实施例二是SAC工作在转交模式下采用STP建立IP session过程， 如图9所示，包括以下步骤步骤s901，接入会话发现协商。远程系统通过发现协商发现网络接入服 务器，网络接入服务器为远程系统提供接入服务。转交模式的SAC将远程系统 发送的接入发现协商报文转交到SNS。 SAC远程系统发送的接入会话发现协商 报文转换成STP接入发现协商消息，将STP接入发现协商消息#换成接入会话 发现协商报文。其中，STP接入发现协商消息包括L2TP协议的 Incoming-Call-Request ( ICRQ ) 、 Incoming-Call-Reply ( ICRP )、 Incoming-Call-Connected (ICCN) 、 Outgoing-Call-Request (OCRQ)、 Outgoing-Call-R印ly ( OCRP ) 、 Outgoing-Call-Connected ( OCCN )、 Set-Link-Info ( SLI)消息。
步骤s902，如果SAC与SNS之间没有存在隧道或没有存在空闲的隧道，SAC 与SNS协商建立STP隧道。
步骤s903, SAC与SNS进行接入发现协商。
步骤s904,远程系统向SAC发起接入会话建立协商。远程系统与网络接入 服务器协商建立接入会话，接入会话建立协商包括身份认证、地址分配、链 路协商、会话建立等。
步骤s905， SAC通过访问网络AAA服务器或策略服务器对远程系统进行身 份认i正和授权。
步骤s906, SAC与SNS进行STP会话建立协商。
步骤s907, SNS通过归属网络AAA服务器或策略服务器对远程系统进行身 份认证和授权。其中步骤s905和步骤s907为可选。
步骤s908,远程系统与归属网络内的设备进行数据通信(通过接入会话 传送数据)，SAC负责转交SNS和用户远程系统之间消息报文。
步骤s909和步骤s910,会话拆除，包括远程系统发起接入会话拆除以及 SNS或SAC触发的会话拆除。
本发明实施例三描述通过DHCP建立跨越访问网络的IP session, STP^f吏用 现有的L2TP协议，如图10所示，包括以下步骤
步骤sl001,远程系统发起建立IP session,远程系统通过IP session跨 越访问网络接入归属网络，远程系统发起DHCP Discovery消息，DHCPDiscovery消息可以包含远程系统身份信息(UserID);身份信息包括0ption 82携带的远程系统连接的设备以及端口标识，身份信息还可以包括用户的帐 户名称或远程系统主机的MAC地址等。
步骤sl002,工作在代理模式的SAC收到远程系统的DHCP Discovery消息， 识别DHCP Discovery消息的链路标识，包括接收到该消息的接口标识、VLAN 标识、PVC标识等，同时解析该消息获取身份信息，SAC根据该链路标识和/或 身份信息判断远程系统待建的接入会话的归属网络不是本地网络，获取远程 系统待接入的归属网络信息(如远程系统待接入的归属网络的DHCP服务器地 址)，响应远程系统DHCP Offer或AUTH (认证)消息。具体如DHCP Offer 消息携带的DHCP服务器地址可以是远程系统待建的接入会话的归属网络的 DHCP月良务器地址，如果收到的远程系统的DHCP Discovery消息携带用户帐户 名称，SAC可以指定一个挑战值(Challenge)，通过DHCP Offer消息将挑战 值通告给远程系统。SAC指定SAC发送DHCP Offer消息的源MAC地址，该MAC地 址可以是SAC的设备地址，也可以是SAC指定的一个虚拟MAC地址；DHCP AUTH
(认证)消息通知远程系统进行认证，认证消息可以使用DHCP承载EAP才几制。
步骤sl003，远程系统继续请求建立IP session,远程系统发起DHCP Request或AUTH (认证)消息，DHCP Request或AUTH (认证)消息可以包含身 份信息，身份信息进一步包括密码偉.息；密码信息包括使用挑战值
(Challenge)加密后的密码。
步骤sl004, SAC收到远程系统发起的DHCP Request或AUTH (认证)消息， 获取该消息的链路标识和身份信息，进行访问网络认证授权。SAC发送认证请 求消息(Access Request)到访问网络的AAA服务器，请求认证授权，该认证
请求消息可以包括身份信息。
步骤sl005,访问网络的AAA服务器认译授权成功，该AAA服务器响应SAC 认证授权成功消息(Access Accept),该AAA服务器还可以向SAC发送4吏权数 据，包括归属网络信息信息，如SAC和SNS之间的隧道参数等。
步骤sl006, SAC判断需要建立传送隧道(如到SNS的隧道不存在或者已 经存在的隧道的^S舌数目已经满员)，SAC向SNS发起建立隧道请求，如SAC发
18起Start-Control-Connection-Request ( SCCRQ )消息。
步骤s1007 , SNS响应隧道建立请求，发送响应消息 Start-Contro卜Co画ction-R印ly ( SCCRP )。
步骤s1008 , SAC确认隧道建立完成，发送确认消息 Start-Control-Connection-Connected ( SCCCN )。
步骤sl009， SAC呼叫SNS建立STP会话，同时协商会话数据消息报文的封 装格式，发起Ca 11-Request ( CRQ )消息，如发送Incoming-Cal 1-Request (ICRQ)消息，该消息包括远程系统发起的DHCP Request或认证(AUTH )消 息参数，如可以包含密码或挑战值(Challenge )等身份信息或EAP( Extensible Authentication Protocol,扩展认证协议)报文。
步骤sl010, SNS收到SAC发起的Call-Request (CRQ)消息，获取远程系 统的身份信息，进行身份认证授权处理。SNS发送认证请求消息(Access Request)到归属网络AAA服务器，请求认证授权。
步骤sl011，归属网络的AAA服务器认证授权成功，该AAA服务器响应SNS 认证授一又成功消息(Access Accept)，该AAA服务器还可以向SNS发送授权数 据，包括QOS (服务质量)参数以及策略参数。如果远程系统使用DHCP扩展认证 才几制，即DHCP通过DHCP AUTH消息认i正，SNS响应包含i人i正结果的DHCP AUTH消 息给远程系统，SAC将收到此消息转发给远程系统，远程收到DHCP认证消息 后继续发起地址请求(如发送DHCP Request) , SAC将地址请求消息转交给 SNS。
步骤sl012, SNS开始地址分配请求，如发送DHCP Request消息到地址服 务器(DHCP服务器)。
步骤sl013，地址服务器为远程系统分配地址以及指定地址的租期，然后 响应地址分配请求，发送DHCP ACK消息。
步骤sl014, SNS收到DHCP ACK消息，从该消息获取地址服务器分配的IP 地址和地址租期，创建地址服务器分配的IP地址标识的远程系统的接入会话 (设置QOS参数、开启接入会话的维持管理)，SNS指定STP(L2TP)会话标识， 该STP (L2TP)会话标识可以是地址服务器分配IP地址，即远程系统的接入会话标识与STP (L2TP)会话标识采用相同的IP地址标识，SNS建立远程系统的 接入会话与STP ( L2TP )会话的映射关系，用于后面的数据消息报文转发。SNS 响应SAC会话建立请求，如发送Incoming-Call-Reply ( ICRP)消息，该消息 包括远程系统的接入会话和STP (L2TP)会话的参数，如归属网络授权参数以 及地址参数或EAP报文。
步骤sl015和步骤s1016, SAC收到SNS响应消息，获取远程系统的接入会 话和STP (UTP)会话的参数，建立远程系统的接入会话与STP (LHP)会话 的映射关系，用于后面的数据消息报文转发。映射关系包括接入会话的IP地 址与STP (L2TP)会话的绑定，还包括STP (L2TP)数据消息报文封装格式。 如果接入会话的IP地址是私有地址，SAC可以将远程系统标识或远程系统连接 SAC的链路与STP (L2TP)会话进行绑定，远程系统连接SAC的链路包括接口标 识、VLAN标识、PVC、 PBT路径标识、MPLS LSP标签等。SAC响应STP (L2TP) 会话建立完成的确认消息，如发送Incoming-Cal 1-Connected (ICCN)消息。
步骤sl017, SAC响应远程系统接入会话建立完成确i人消息，如发送DHCP ACK消息，SAC根据SAC收到的SNS响应消息(Incoming-Call-Reply (ICRP) 消息获糾目关的参数，如地址参数，构造DHCP ACK消息或者直接从SNS响应消 息提取DHCP ACK消息。远程系统收到SAC接入会话的确认消息，接入会话建立 完成，SAC可以使用建立的接入会话访问网络资源。SAC负责根据远程系统的 接入会话与STP (L2TP)会话的映射关系转交SNS和用户远程系统之间消息报 文。
步骤sl018和步骤s1019,远程系统发起接入会话拆除请求，如远程系统 发送DHCP Release消息，SAC和SNS拆除STP会话(如使用CDN通告)，如果 STP是STP隧道的最后一条会话，则SAC和SNS拆除动态建立的STP隧道。
本发明实施例中远程系统建立的会话是动态IP地址的会话，由于远程系 统的IP地址是归属网络的地址服务器分配的，动态IP地址一般都使用租期管 理，即分配IP地址时，同时指定了IP地址可以使用的时间期限，如果期限到 期，远程系统必须停止使用，远程系统如果需要延长租期，远程系统必须在 地址租期到期之前进行地址续租，如果续租失败，远程系统要求重新发起接入会话的建立请求。SNS或SAC同时跟踪或检测接入会话的动态IP的租期，如 果租期到期或者续租失败，SNS或SAC需要终止IP标识的接入会话对应的STP会 话，释放接入会话占用的网络资源，远程系统将不能继续通过该接入会话继 续使用业务(接入网络)。
本发明实施例四描述了STP支持IP会话地址租期延续的处理流程，如图 ll所示，包括以下步骤
步骤sl101,远程系统发起地址租期延长请求，如远程系统在租期的5oy。 时，发起址租期延长请求，址租期延长请求消息可以使用DHCP Request消息， 址租期延长请求包括待延长租期的IP地址、延长的租期时间(新的租期)等 参数。
步骤s 1102, SAC将收到的远程系统发送的地址租期延长请求消息通过STP 租期请求转交给SNS,该转交可以使用STP的数据消息报文转交，也可以通过 STP的控制消息报文转交，优选通过控制消息报文转交。
S AC通过数据消息报文转交地址租期延长请求消息包括通过DHCP Request消息的源IP地址和/或该消息的链路标识查找接入会话与STP ( L2TP ) 会话的映射关系，然后通过映射关系表的参数封装DHCP Request消息到STP数 据消息报文，然后通过隧道发送到SNS,此时STP租期请求消息就是封装在STP 数据消息报文的DHCP Request消息。
SAC通过控制消息报文转交地址租期延续请求消息包括SAC通过DHCP Request消息的源IP地址和/或该消息的链路标识等判断该消息需要通过隧道 发送到SNS,然后获取隧道标识，SAC将DHCP Request消息封装成STP租期请求 控制消息，然后将控制消息发送到SNS,所述的STP租期请求控制消息包括L2TP 的Set-Link-Info (SLI)消息、Incoming-Call-Request (ICRQ)消息、 Outgoing-Call-Request ( 0CRQ ) 、 Explicit-Acknowledgement (ACK)等， 所述的STP租期请求控制消息还可以采用新的STP消息，如重新定义STP租期请 求控制消息。所述的SAC将DHCP Request消息封装成STP租期请求控制消息包 括将DHCP ReqUes t消息的参数适配到STP租期请求控制消息的参数域或者将整 个DHCP Request消息作为STP租期请求控制消息的一个^t域(AVP: Attribute步骤sl103, SNS收到SAC的STP租期请求消息，从该消息中提取DHCP Request消息或DHCP Request消息参数，然后将DHCP Request消息或通过DHCP Request消息参数重新构造的DHCP Request消息发送到地址服务器申请地址租 期延长。
步骤sl104,地址服务器确认申请地址租期延长请求，向SNS发送DHCP ACK 确认消息。
步骤s 1105 ， SNS将地址服务器确认申请地址租期延长请求消息通过STP租 期确认转交给SAC，同时可以更新会话的IP地址租期。
步骤sl106， SAC收到STP租期确认消息，从该消息中提取DHCP Ack消息或 DHCP Ack消息参数，然后将DHCP Ack消息或通过DHCP Ack消息参数重新构造 的DHCP Ack消息发送到远程系统。同时可以更新会话的IP地址租期。远程系 统收到DHCP Ack消息，更新IP地址租期。
本发明实施例五中，在通过STP建立跨越网络的IP接入^i舌时，由于隧道 屏蔽了访问网络和归属网络的二层链路技术，但是如果访问网络使用以太网 技术连接远程系统，即SAC通过以太网连接远程系统，SAC具有ARP代理 (PROXY)特性；如果归属网络使用以太网技术，即SNS通过以太网连接归属网 络内的终端系统，SNS具有ARP PROXY特性。具体过程如图12所示，包括以下 步骤
步骤sl201a,远程系统发送ARP请求(Request)消息，请求某系统主机 的MAC地址。
步骤sl202a, SAC收到ARP请求(Request)消息，根据消息携带的地址(IP 地址或者MAC地址)或链路标识，SAC代理请求的主机响应ARPReply消息。SAC 响应ARP Reply消息的MAC地址可以是SAC的MAC地址，或者指定一个MAC地址， 如虚拟MAC地址。SAC可以对所有的远程系统的ARP请求响应一个MAC地址，也 可以对每一个指定的远程系统响应一个指定的MAC地址，这样一个MAC就可以 对应一个接入^4舌。
SAC在做ARP PROXY时候，可以使用虚拟MAC地址，使用特定的MAC地址(|殳)
22标识通过远程系统建立的接入IP会话，SAC可以识别收到的数据报文是本地网 络的报文还是远程系统建立的需要通过STP隧道发送到SNS的数据报文。
SNS处理ARP请求的步骤跟SAC基本类似，包括以下步骤
步骤sl201b, SNS收到终端系统的ARP请求消息。
步骤sl202b, SNS根据ARP消息请求的IP地址，判断是IP地址属于通过STP 建立的会话(跨越网络的接入会话)主机的(远程系统主机的IP地址)，SNS 4戈理远程系统响应ARP Rep 1 y消息。
本发明实施例中为了优化网络资源的使用以及满足计费等需求，网络通 常需要对接入会话进行维持管理，监控接入会话的状态，即会话的存活机制 (keepalive )。
本发明实施例六描述在跨越网后络建立的IP会话的ke印alive机制的一 种实现方法，SNS与远程系统直接采用IP会话的ke印alive机制，SAC不感知 接入会话的keepa 1 ive机制。远程系统或SNS通过周期性的发送状态探测消息， 检查对方的状态。下面以SNS周期性的发送探测消息为例说明，如图13所示， 包括以下步骤
步骤sl301, SNS建立接入会话后(远程系统接入了网络)，SNS发送状态 ^:测请求消息(Test Request),触发SNS发送该消息包括周期性的定时器， 即SNS通过周期性的定时器触发发送该消息。状态探测请求消息(Test Request)包括ARP Request消息或BFD ( Bidirectional Forwarding Detection 双向转发检测)消息或者DHCP消息，具体消息类型由实现决定。SNS通过STP 数据消息报文发送状态探测请求消息(Test Request) 。 SAC收到数据消息报 文，将状态4果测请求消息(Test Request)转交给远程系统。
步骤sl302，远程系统收到SNS发送的状态探测确认消息(Test Reply)， 响应SNS的状态探测请求。状态探测确iU肖息(Test Reply)包括ARP R印ly 消息或BFD消息或者DHCP消息，具体消息輋型由实现决定。远程系统也可以通 过状态探测请求消息(Test Request)判断接入会话状态，如果在给定的时 间内，没有收到SNS的状态探测请求消息(Test Request),判断接入会话异 常，进行接入会话异常处理，如终止接入会话。SAC收到远程系统的状态探测确认消息(Test R印ly),将该消息通过STP数据消息报文转交给SNS。
SNS收到远程系统的状态探测确认消息(Test Reply),判定远程系统状 态正常，继续等待下次探测。SNS如果在指定周期或次数没有收到远程系统的 状态探测确认消息(Test R印ly) ， SNS可以判定远程系统状态异常，然后进 行会话终止处理。主动发送状态探测消息不局限于SNS，远程系统也可以发送 状态探测请求消息(Test Request),然后通过SNS响应的状态探测确认消息 (Test R印ly)判断接入会话的状态。
本发明实施例七中SAC与远程系统直接釆用IP会话的keepalive机制， SAC代理SNS感知接入会话的keepalive机制。远程系统或SAC通过周期性的发 送状态探测消息，检查对方的状态。下面以SAC周期性的发送探测消息为例说 明，如图14所示，包括以下步骤
步骤sl401, SAC感知接入会话建立完成后(远程系统接入了网络)，SAC 向远程系统发送状态探测请求消息(Test Request)，触发SAC发送该消息包 括周期性的定时器，即SAC通过周期性的定时器触发发送该消息。状态纟笨测请 求消息(Test Request)包括ARP Request消息或BFD消息或者DHCP消息或者 OAM消息。具体消息类型由实现决定。
步骤sl402,远程系统收到SAC发送的状态探测确认消息(Test Reply), 响应SAC的状态探测请求。状态探测确i人消息(Test Reply)包括ARP Reply 消息或BFD消息或者DHCP消息或OAM消息。具体消息类型由实现决定。远程系 统也可以通过状态探测请求消息(Test Request)判断接入会话状态，如果 在给定的时间内，没有收到SAC的状态探测请求消息(Test Request)，判断 接入会话异常，进行接入会话异常处理，如终止接入会话。
步骤sl術，SAC收到远程系统的状态探测确认消息(Test Reply)，判 定远程系统状态正常，继续等待下次探测。
步骤sl403， SAC向远程系统发送状态探测请求消息(Test Request), SAC在指定周期或次数(本实施例中以两次为例)没有收到远程系统的状态探 测确认消息(Test R印ly)判定远程系统状态异常，然后进行会话终止处理， 包括发送会话终止通知消息通知SNS处理会话异常，如发送Call-Disconnect-Notify (CDN)控制消息给SNS。主动发送状态探测消息不局 限于SAC,远程系统也可以发送状态探测请求消息(Test Request)，然后通 过SAC响应的状态探测确认消息(Test Reply)判断接入会话的状态。
本发明实施例八描述SAC收到远程系统的^J:处理流程，如图15所示，包 括以下步骤
步骤sl501, SAC接收到来自远程系统(终端)的通讯报文，例如TCP报 文、UDP报文、DHCP报文、0AM报文、ICMP报文、IP报文、ARP报文等，通讯报 文格式包括IPoE、 IPoWDM、 IPoA (IP over ATM IP包承栽在ATM上)等报文。 优选的还包括，SAC收到来自终端的报文，识别是来自远程系统的报文，具体 可以根据至少一个报文的首部参数和/或报文的链路标识进行判断，报文的首 部参数至少包括报文的源或目的IP地址、报文的目的或源MAC地址，报文的 以太网首部的业务标签(Service Label )，报文的链路标识至少包括承载 报文的VLAN或PVC或接口号，如某一段源IP地址或某一段目的MAC地址或某一 VLAN的报文属于远程系统的报文，判定规则由具体实现决定。
步骤sl502, SAC获取(或识别)报文的类型，报文类型至少包括控制报 文和数据报文，控制报文包括DHCP消息报文、ARP消息报文、EAP消息报文、 802. lx消息报文、PANA消息报文、OAM(捧作管理维护)消息报文等，数据报 文包括普通的(除控制报文之外)TCP报文、普通的(除控制报文之外)UDP 报文、普通的(除控制报文之外)IP报文等。SAC的报文分类原则是可以配置 或动态更改的，分类原则或规则可以根据实际实现决定。
步骤sl503，如果SAC收到的来自远程系统的报文是数据报文，判断是否 需要STP转发，即判断是否需要经过STP映射处理后转发到SNS,如果需要(或 是)，则转步骤sl504，如果不需要(否)，则转步骤sl505。具体可以根据 至少一个报文的首部参数和/或报文的链路标识进行判断。如某一段目的IP 地址需要STP转发，某一范围目的MAC地址需要STP转发、来自某一VLAN的报文 需要STP转发等。SAC还支持远程接入会话的报文(远程系统报文)通过SAC直 接转发到公共网络的判断，如根据报文的源IP地址和报文的目的IP判断此报 文需要直接通过SAC转发到公共网络(如Internet),是否允许远程系统的
25报文通过SAC转发到公共网络由接入M建立协商决定的，即SNS通过STP控制 消息通知SAC决定，默认一般都是禁止的。
步骤sl504, SAC转发数据报文，包括通过路由转发数据报文或直接二层 转发。如果是通过SAC直接转发到公共网络的报文，SAC可对报文做NAT后继续 转发。
步骤sl505, SAC对来自远程系统数据报文(如包含了IP包载荷的IPoE报 文)进行数据报文映射处理。所述的映射包括根据报文的首部参数和/或链路 标识，映射到STP隧道和STP会话上，然后根据映射表的封装参数将数据报文 的IP包载荷作为STP的数据消息的数据载荷封装成STP数据消息报文。如根 据数据报文的IP包载荷的源IP地址查找STP的会话映射表，获取报文的隧道标 识和会话标识以及封装格式参数，然后将数据报文的IP包载荷按照所述封装 格式封装成STP数据消息报文，再通知隧道转发消息报文。所述的适配还包括 MTU的处理，包括对报文的分片。数据报文映射处理完毕后交步骤sl509处理。
步骤sl506，如果SAC接收到来自远程系统的报文是控制报文，判断是否 仅需要SAC在本地处理(终结处理)，如果报文是SAC本地处理报文，则转步 骤sl5G7，指示或通知SAC本地处理纟艮文，如ARP^艮文，SAC代理SNS处理ARP 报文。如果报文是需要经过SAC交由SNS处理，则转步骤sl508, SAC通知SAC控 制报文映射处理。
步骤sl507, SAC处理来自远程系统的控制才艮文，包括SAC作为ARP Proxy 处理ARP才艮文，SAC作为keepalive的节点处理状态:探测请求消息(Test Request)报文或SAC工作在代理模式下处J皇接入会话发现协商报文(DHCP Discovery消息)等。
步骤sl508, SAC对控制报文映射处理。SAC对来自远程系统控制报文进行 STP控制报文映射处理，然后再通过STP发送出去。所述的映射包括根据报文 的内容和/或报文的链路标识，将控制报文映射到STP隧道上，然后将控制报 文映射到STP数据消息报文或根据隧道封装参数将控制报文作为STP的控制消 息封装成STP控制消息报文，再通知隧道转发STP消息报文。SAC控制报文映射 处理还可以包括对控制报文的处理，如获取报文内容(如身份信息)根据报文内容进行认证4受权等。转步骤sl509。
步骤sl509， SAC转发STP消息报文，所述STP消息报文包括STP控制消息和 数据消息报文，SAC将STP消息报文从对应的STP隧道发送出去。
本发明实施例九中SAC收到STP消息报文处理流程，如图16所示，包括以 下步骤
步骤sl601, SAC从接收到(来自对端SNS)的STP消息报文，包括STP控制 消息报文或STP数据消息报文。 ，
步骤sl602, SAC对SAC获取消息类型，包括通过隧道首部(header )相关 域识别或STP消息首部识别，如果是STP数据消息报文，则转步骤sl603,进行 STP数据消息映射处理，如果是STP控制消息报文，则转步骤sl604,进行STP 控制消息处理。
步骤sl603, STP数据消息映射处理，包括从STP消息报文中移除隧道首部 或STP消息首部，提取三层会话数据包或帧(如数据载荷IP包)，根据数据 载荷IP包的目的IP地址(远程系统的IP地址)获取数据载荷IP包的二层地址 参数，包括源和目的MAC地址，如从ARP表项获取IP地址对应的MAC地址以及会 话映射表获取链路标识(远程系统连接的链路或端口 )，然后将三层会话数 据包或帧(数据载荷IP包)增加二层首部(如以太网首部)成为SAC与远程系 统的通讯数据报文(如IPoE (IP承载在以太网上)报文)，然后指示从指定 的链路发送出去(到远程系统)。
步骤sl604， SAC判断STP控制消息是否本地处理(终结)的消息，即STP 控制消息是否仅需要SAC本地处理即可。如果是，则转步骤sl605，本地处理 STP控制消息；如果SAC需要将STP控制消息交远程系统处理，则转步骤sl606。
步骤sl605, SAC处理从STP控制消息，包括STP隧道建立协商、维持、拆 除协商控制消息报文，如果STP为L2TP协议，则控制消息可以包括 Start-Control-Co腦ction-Request (SCCRQ) 、
Start-Control-Connection-Reply (SCCRP) 、
Start-Control-Cormect ion-Comiected (SCCCN) 、 Stop-Control-Co画ction—Notification (StopCCN) 、 Hello (HEIXO)报文。SAC按照STP协议处理STP控制消息。
步骤sl606, STP控制消息映射处理。具体包括将STP控制消息映射封装成 为SAC与远程系统的通讯控制报文(如DHCP消息报文、PANA消息报文、802. lx 消息报文)。STP控制消息包括会话建立协商、维持、拆除协商的STP控制消 息，如Outgoing—Call—Request (OCRQ) ， Incoming-Cal卜R印ly (ICRP)、 Set-Link-Info (SLI) 、 Outgoing-Cal 1-Connected (OCCN)等。映射包括从STP 控制消息提取控制消息内容，然后将控制消息内斜艮据ARP表项或会话映射表 封装SAC与远程系统之间的消息报文格式。映射还包括从控制消息报文提取控 制消息的参数，再将提取的参数转化成另外的协议消息，如从 Incoming-Call-Reply (ICRP)消息中提取参数，然后根据参数转化成DHCP ACK 消息。
步骤sl607， SAC转发报文，SAC将报文向远程系统发送出去。 SNS报文处理流程跟SAC相似，SNS报文处理包括处理从网络内部终端系统
收到发往远程系统的报文以及处理从SAC收到的STP消息报文。SNS报文处理流
程请参照SAQ艮文的处理流程，在此不再赘述。
本发明实施例中，SAC和SNS还包括对接收的数据报文的MTU (最大传输单
的报文首部，如增加STP消息首部以及隧道首部，这样会导致最后报文长度超 过底层网络能够承受的MTU (最大传输单元)。因此SAC数据报文的映射处理 和SNS数据报文的映射处理中增加MTU的处理，即判断映射后报文长度是否超 过底层网络能够承受的MTU，如果超过，则进行MTU处理。
SAC或SNS对报文的MTU处理根据报文的类型不同处理机制不同，报文是 IPV4报文，SAC或SNS按照IP的原理首先对报文进行分片处理，SAC或SNS将分 片后的报文进行映射，在通过隧道发送出去。报文是IPV6报文，SAC和SNS的 MTU处理包括两种方案 一种是SAC或者SNS通过ICMP消息通知^^艮文的发送源才艮 文超长而需要减小报文的长度(通告期望的MTU) , SAC或SNS丟弃报文；另一 种是SAC或者SNS首先对报文进行分片处理，对端(SAC和SNS互为对端)收到 报文后对其进行重组，由于IPv6没有分片或重组机制，需要在STP首部增加标识分片或重组信息，如报文的序列号以及分配开始和结束标志，SAC或者SNS 按照分片或重组信息进行分片或重组处理。
本发明实施例十中，接入会话的拆除处理远程系统的接入会话拆除包 括远程系统主动发起的会话拆除和接入会话的被动拆除。
远程系统主动发起的会话拆除包括远程系统发起接入会话拆除请求， 如发送DHCP Release消息、802. lx EAPoL Logoff消息;SAC收到远程系统发 起的接入会话拆除请求，SAC通知SNS拆除对应的STP会话，所述的通知包括SAC 向SNS发送Call-Disconnect-Notify (CDN)消息；SAC或SNS拆除STP会话，如 果STP是STP隧道的最后一条会话，则SAC或SNS拆除动态建立的STP隧道。
接入会话的被动拆除包括SAC或SNS拆除STP会话，如SAC或SNS通过 keepalive机制检测接入会话状态异常，SAC或SNS拆除STP会话；或网管系统 或应用程序通过指令通知SAC或SNS拆除STP会话。
本发明实施例还提供了一种三层会话的接入系统，包括网络边缘设备， 用于接收远程系统的报文，对报文进行STP映射后通过STP向会话网络服务 器SNS发送；将来自所述SNS的消息报文进行STP隧道终止，对于需要转发 的报文，进行链路层或物理层映射后向所述远程系统发送；会话网络服务器， 对来自SAC的STP消息报文进行隧道终止，并根据STP报文首部对所述报文 进行分类处理；将来自终端系统的三层数据报文的目的地址映射到STP隧道 上，通过STP隧道经SAC向远程系统转发。
其中，网络边缘设备具体包括第一接收单元，用于接收远程系统的报 文；第一报文处理单元，将报文进行映射处理；第一发送单元，用于将所述 STP映射后的报文通过STP向会话网络服务器SNS发送；第二接收单元，用于 接收来自所述SNS的STP消息报文；第二报文处理单元，用于对来自所述SNS 的报文进行STP隧道终止，并进行链路层或物理层映射；第二发送单元，用 于对于映射后的报文向所述远程系统发送；STP隧道建立单元，用于与SNS协 商建立STP隧道；STP会话建立单元，用于与SNS协商建立STP会话；租期检 测单元，用于接收到来i] SNS的租期延长确认后，获取会话的新租期并通知 所述远程系统；保活检测单元，用于通过与远程系统交互状态探测消息，进
29行IP会话的保活；还可以包括ARP代理单元，用于代理归属网络i史备(如SNS ) 处理(如响应)远程系统ARP地址请求消息，进4亍IP地址到MAC地址的映射。
所述第一报文处理单元具体包括映射子单元，用于根据报文的首部参 数和/或所述数据报文的链路标识，将所述报文映射到STP隧道和会话上；封 装子单元，用于将所述IP包封装成STP消息报文。
所述第二报文处理单元具体包括三层报文提取子单元，用于移除所述 数据报文隧道首部或STP消息首部，提取三层报文；二层地址获取子单元， 用于根据所述三层报文的目的IP地址获取所述三层报文的二层地址；适配子 单元，用于根据所述二层地址适配所述三层报文。
其中，会话网络服务器具体包括第三接收单元，用于接收来自SAC报 文；第三报文处理单元，用于对来自SAC报文进行隧道终止，并根据STP报 文首部对所述报文进行分类处理；第三发送单元，用于根据分类处理结果发 送所述报文；第四接收单元，用于接收来自终端系统的三层数据报文；第四 报文处理单元，用于将来自终端系统的三层数据报文的目的地址映射到STP 隧道上，进行三层数据的STP适配；第四发送单元，用于将所述适配后的报 文通过STP隧道向远程系统发送。
所述第三报文处理单元具体包括隧道终止子单元，用于获取隧道和/或 会话连接信息，移除所述^^文的隧道首部；分类处理子单元，用于对于存在 STP数据报文首部的数据报文移除报文首部，通过三层报文的目的地址发送出 去；对于控制报文，根据消息类型发送到相应的设备处理。
所述第四报文处理单元具体包括映射子单元，用于将来自终端系统的 三层数据报文的目的地址映射到STP隧道上；适配子单元，用于为所述三层 数据增加STP报文首部；
本发明实施例中，通过三层会话接入方式的VPDN或批发机制，如远程用 户使用IP sess ion跨越访问网络接入用户的归属网络，访问网络包括批发场 景的批发网络或公共网络，用户的归属网络指用户的签约网络，包括批发场 景的零售网络或企业网络或者游牧场景家乡网络。访问网络和用户的归属网络二层链路技术可能存在不一致，通过统一的三层会话接入，解决访问网络 和用户的归属网络二层链路技术互通问题，三层会话屏蔽了访问网络和用户 的归属网络的二层链路技术。
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本 发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬 件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技 术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体 现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使 得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行 本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此， 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种三层会话的接入方法，其特征在于，包括以下步骤会话传送协议STP本端设备接收和识别来自主机系统的控制报文或数据报文；所述STP本端设备将所述控制报文或数据报文映射成STP消息报文；所述STP本端设备将所述的STP消息报文转发STP对端设备。
2、 如权利要求1所述的方法，其特征在于，进一步还包括所述STP本端设备接收和识别来自STP对端设备的STP数据报文或STP 控制报文；所述STP本端设备将所述的STP数据报文或STP控制报文映射成STP 本端设备与主机系统的通讯才艮文；所述STP本端设备将所述的通讯报文转发到所述主机系统。
3、 如权利要求l所述的方法，其特征在于，对于控制报文，所述STP本 端设备将控制报文映射成会话传送协议STP消息报文包括所述STP本端设备将控制报文转换成STP会话协商控制消息报文或租期 延长请求消息报文。
4、 如权利要求l所述的方法，其特征在于，所述的STP本端设备接收和 识别来自主机系统的控制报文或数据报文之后还包括判断和识别本地处理 的控制报文；所述本地处理包括当所述的控制"J艮文为ARP代理请求^JL时，所述SAC 根据该报文携带的地址或链路标识，代理被请求的主机响应ARP响应消息； 或所述的控制报文为存活探测报文，所述STP本端设备收到远程系统的状态 探测确认消息，判定接入会话状态。
5、 如权利要求l所述的方法，其特征在于，所述STP本端设备将所述控 制报文或数据报文映射成会话传送协议STP消息报文，对于控制报文具体包 括所述STP本端设备根据所述控制报文的内容和/或链路标识，将所述控制 才艮文对应到STP隧道和STP控制消息上；将所述控制报文封装成STP数据消息报文或将控制报文转换成STP控制 消息才艮文。
6、 如权利要求l所述的方法，其特征在于，所述STP本端设备将所述控 制报文或数据报文映射成会话传送协议STP消息报文，对于数据报文具体包 括所述STP本端设备根据所述数据报文的首部参数和/或链路标识，对应到 STP隧道和STP会话上；提取所述数据报文的IP包载荷；根据映射表的封装参数将所述的IP包载荷封装成STP数据消息报文。
7、 如权利要求2所述的方法，其特征在于，对于STP数据消息报文，所 述STP本端设备将所述的STP数据消息报文或STP控制消息报文映射成STP 本端设备与主机系统的通讯报文具体包括所述STP本端设备从所述的STP数据消息报文中提取数据载荷IP包； 根据所述数据载荷IP包的目的IP地址获取链路层传送首部； 将所述数据载荷IP包增加链路层传送首部，生成所述STP本端设备与主 机系统的通讯数据l艮文。
8、 如权利要求2所述的方法，其特征在于，对于STP控制消息报文，所 述STP本端设备接收和识别来自所述STP对端设备的STP数据消息净艮文或 STP控制消息报文之后还包括判断和识别本地处理的STP控制消息报文； 所述本地处理包括所述STP本端i殳备处理所述STP对端设备响应的STP隧道白
9、 如权利要求2所述的方法，其特征在于，所述STP本端设备将所述的 STP数据消息报文或STP控制消息报文映射成STP本端设备与主机系统的通 讯报文，对于STP控制消息报文具体包括所述STP本端设备为会话接入集中器SAC时，所述的SAC根据所述STP 控制消息报文STP首部或STP隧道首部，将所述控制报文对应到远程系统接 入会话上；将所述STP控制消息报文转换成SAC与远程系统的通讯控制报文，其中， 通讯控制报文包括DHCP消息报文、PANA消息报文、802.1x消息报文、BFD消息报文。
10、 如权利要求2所述的方法，其特征在于，所述STP本端设备将所述 的STP数据消息报文或STP控制消息报文映射成STP本端设备与主机系统的 通讯报文，对于STP控制消息报文具体包括所述STP本端设备为会话网络服务器SNS时，将所述STP控制消息报文 转换成SNS与网络服务器的通讯控制报文，其中，通讯控制报文包括DHCP 消息报文、AAA协议消息。
11、 一种三层会话的接入系统，其特征在于，包括 会话接入集中器SAC,用于接收来自远程系统的报文，将所述报文映射成会话传送协议STP消息报文，并将所述的STP消息报文转发到会话网络服 务器SNS;将来自所述SNS的STP消息报文进行STP隧道终止，对于需要转 发的报文，进行链路层或物理层映射后向所述远程系统发送；会话网络服务器SNS，对来自SAC的STP消息报文进行隧道终止，并根据 STP^R文首部对所述净艮文进行分类处理；将来自终端系统的三层数据才艮文的目 的地址映射到STP隧道上，通过STP隧道经SAC向远程系统发送。
12、 一种网络边缘设备，其特征在于，包括 第一接收单元，用于接收远程系统的报文； 第一净艮文处理单元，用于将所述^J:映射处理；第一发送单元，用于将所述STP映射后的报文通过STP向会话网络服务 器SNS发送；第二接收单元，用于接收来自所述SNS的STP消息报文； 第二报文处理单元，用于对来自所述SNS的报文进行STP隧道终止，并 进行链路层或物理层映射；第二发送单元，用于对于映射后的净艮文向所述远程系统发送。
13、 如权利要求12所述网络边缘设备，其特征在于，所述第一报文处理 单元具体包括映射子单元，用于根据报文的首部参数和/或所述数据报文的链路标识，将所述报文映射到STP隧道和会话上；封装子单元，用于将所述报文封装成STP消息报文。
14、 如权利要求12所述网络边缘设备，其特征在于，所述第二净艮文处理 单元具体包括三层报文提取子单元，用于移除所述数据报文隧道首部或STP消息首部， 提取IP包载荷；二层地址获取子单元，用于根据所述IP包载荷的目的IP地址获取链路层 或物理层首部参数；适配子单元，用于根据所述链路层或物理层首部参数适配所述三层报文。
15、 如权利要求12所述网络边缘设备，其特征在于，还包括 STP会话建立单元，用于与SNS协商建立STP会话。
16、 如权利要求12所述网络边缘设备，其特征在于，还包括 租期检测单元，用于接收到来自SNS的租期延长确认后，获取会话的新的租期。
17、 如权利要求12所述网络边缘设备，其特征在于，还包括ARP代理单元，用于代理归属网络设备处理远程系统ARP地址请求消息。
全文摘要
本发明公开了一种三层会话的接入方法，包括以下步骤会话传送协议STP本端设备接收和识别来自主机系统的控制报文或数据报文；所述STP本端设备将所述控制报文或数据报文映射成STP消息报文；所述STP本端设备将所述的STP消息报文转发STP对端设备。本发明还公开了一种三层会话的接入系统及设备。本发明的实施例中，扩充了IP会话的应用场景，有效地解决了IP会话在VPDN以及批发场景的应用技术限制。
文档编号H04L12/56GK101426004SQ20071016546
公开日2009年5月6日 申请日期2007年10月29日 优先权日2007年10月29日
发明者阳振庭 申请人:华为技术有限公司