一种接入核心网的方法及系统与流程

本申请涉及通信网络技术领域，尤其涉及一种接入核心网的方法及系统。

背景技术：

随着无源光网络(passiveopticalnetwork，pon)技术的快速发展，基于传统网络的网络业务正被基于pon的业务代替。pon技术是一种点对多点的光纤传输和接入技术。基于pon技术的pon网络结构包括光线路终端(opticallineterminal，olt)、光网络单元(opticalnetworkunit，onu)以及为olt和onu之间提供光传输通道的光分配网络(opticaldistributionnetwork，odn)。在基于pon技术的接入网中，olt位于局端侧，每个olt由网元管理系统(elementmanagementsystem，ems)管理，olt可以通过上联接口连接至核心网，通过下联接口可以连接多个onu，而onu位于用户侧，其可以通过局域网(localareanetwork，lan)接口连接多个终端，因此，终端可以通过onu、olt连接至核心网，以享受核心网提供的服务。

但是，现网中，每个olt只能够由与其来自同一设备商的ems管理，且目前所建设的接入网中至少存在4个olt设备商，因此，一个接入网中至少需4个ems，提升了接入网建设的复杂度。

技术实现要素：

本申请的实施例提供一种接入核心网的方法及系统，可以解决目前接入网建设的复杂度较高的问题。

为到达上述目的，本申请的实施例采用以下技术方案：

第一方面，本申请提供一种接入核心网的方法，该方法包括：

虚拟接入网交换机接收终端的业务请求；

所述虚拟接入网交换机向控制器发送所述业务请求；

响应于所述业务请求，所述控制器将所述终端接入核心网。

第二方面，本申请提供一种接入核心网的系统，该系统包括：

虚拟接入网交换机,用于接收终端的业务请求；向控制器发送所述业务请求；

所述控制器,用于响应于所述业务请求，将所述终端接入核心网。

本申请的实施例提供的接入核心网的方法及系统，与现有技术中接入网建设的复杂度较高相比，本申请中终端通过虚拟接入网交换机向控制器发送业务请求，从而由控制器根据业务请求控制虚拟接入网交换机将终端接入核心网，可见，在本申请中，可以由全局的控制器控制将终端接入核心网，而不需部署多个ems，降低了接入网建设的复杂度。

附图说明

图1为本申请的实施例提供的一种接入核心网的系统的示例性示意图；

图2为本申请的实施例提供的一种接入核心网的方法的流程图；

图3为本申请的实施例提供的一种虚拟接入网交换机的框架与接口的示例性示意图；

图4为本申请的实施例提供的另一种接入核心网的方法的流程图；

图5为本申请的实施例提供的另一种接入核心网的方法的流程图；

图6为本申请的实施例提供的另一种接入核心网的方法的流程图；

图7为本申请的实施例提供的一种接入核心网的系统的示例性示意图。

具体实施方式

本申请描述的系统架构以及业务场景是为了更加清楚的说明本申请的技术方案，并不构成对于本申请提供的技术方案的限定，本领域普通技术人员可知，随着系统架构的演变和新业务场景的出现，本申请提供的技术方案对于类似的技术问题，同样适用。

需要说明的是，本申请中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

需要说明的是，本申请中“的(英文：of)”，“相应的(英文：corresponding，relevant)”和“对应的(英文：corresponding)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。

下面将结合本申请中的附图，对本申请中的技术方案进行详细地描述。

本申请提供的技术方案可以应用于如图1所示的接入核心网的系统中，该接入核心网的系统包括：终端1001、虚拟接入网交换机1002、控制器代理器1003、控制器1004以及业务编排器1005。

其中，虚拟接入网交换机用于在控制器的控制下将终端接入核心网。可以理解的是，每个虚拟接入网交换机可以连接多个终端，如图1所示，虚拟接入网交换机一连接有终端一、终端二，虚拟接入网交换机n连接有终端三、终端四、终端五。需要说明的是，每个虚拟接入网交换机所连接的终端数量并不局限于如图1所示的数量，图1仅是示例性地示出了虚拟接入网交换机所连接的部分数量的终端。

控制器用于根据业务编排器确定的业务逻辑、业务流程、业务规则等生成控制信息,并向控制代理器发送生成的控制信息，该控制信息为与虚拟接入网交换机配置、认证、管理相关的信息。控制器还可以生成终端数据对应的转发项条目，转发项条目用于指示数据的转发路径。

可以理解的是，一个控制器可以控制多个虚拟接入网交换机，作为一种可实现的方式，在本申请中，可以使用一个控制器控制多个地区的虚拟接入网交换机，以便于该控制器对多个地区的终端进行管理。例如，可以通过一个控制器控制北京、天津、上海、广州等地区的虚拟接入网交换机，以便于控制器对以上地区的终端进行管理。

控制代理器是专用网络设备与通用虚拟网络设备之间的适配器，例如，在本发明实施例中，控制代理器可以为虚拟接入网交换机与控制器之间的适配器，其为运行在olt上的一个应用程序。控制代理器用于根据控制器发送的控制信息生成配置参数项条目，从而虚拟接入网交换机能够根据配置参数项条目进行配置，并在控制器的控制下接入核心网。

具体地，在数据转发层面，控制代理器接收到控制器下发的openflow格式的控制信息之后，将openflow格式的控制信息转换为虚拟接入网交换机能够识别的配置参数条目；在控制层面，控制代理器接收控制器下发的网络配置(networkconfiguration，netconf)消息和yang模型，并根据netconf消息和yang模型中包含的认证方式，完成olt和onu的配置和认证，例如可以完成虚拟局域网(virtuallocalareanetwork，vlan)配置、动态带宽分配((dynamicbandwidthallocation，dba)配置、onu的逻辑id配置或物理标识认证配置、onu远程管理逻辑通道配置、上网逻辑通道配置、onu工作模式配置等。

业务编排器，用于确定用户业务的业务逻辑、业务流程、业务规则、并对业务开通/关闭的触发条件进行管理、还可以支持安全策略以实现对设备的监测告警。例如，业务编排器可以用于开通终端宽带业务，并对终端的上网带宽进行配置管理，还可以对终端数据对应的访问列表进行管理，并对数据报文进行基于安全的检测，以防止终端利用非法的数据报文对接入网进行攻击。需要说说明的是，在本申请中，业务编排器、控制代理器和控制器可以是集成在一个通用服务器中的软件或者硬件模块，也可以作为运行的软件或者硬件独立存在。

结合图1所示的接入核心网的系统，为了解决现有技术中接入网的建设复杂度较高的问题，本申请的实施例提供一种接入核心网的方法，如图2所示，该方法包括：

201、虚拟接入网交换机接收终端的业务请求。

需要说明的是，本申请中，对现有的实体olt进行了虚拟化处理，得到虚拟光线路终端(virtualopticallineterminal，volt)，作为一种可能的实现方式，该volt位于实体olt的中央处理器(centralprocessingunit，cpu)中，并以软件的形式在实体olt的cpu中运行。

作为一种可能的实现方式，本申请还可以对实体onu进行虚拟化处理，经虚拟化处理之后，实体onu可以只保留语音处理、物理接入等基本功能，例如，实体onu保留语音编解码的功能，而实体onu的注册、认证功能均被迁移至局端侧。其中，实体onu的注册、认证功能被迁移至局端侧可以具体实现为：onu的注册、认证等功能被虚拟化为一个虚拟光网络单元(virtualopticalnetworkunit，vonu)，该vonu被迁移至实体olt的cpu中。

需要说明的是，下文所提及的本申请技术方案中的olt包括实体olt和volt，本申请技术方案中的onu包括实体onu和vonu。

进一步地，本申请将onu、olt处理为一个逻辑上的虚拟接入网交换机，即虚拟接入网交换机包括olt、onu,并且olt和onu之间通过odn连接。

需要说明的是，现有技术中，通常主要针对网络协议(internetprotocol，ip)层和应用层的单个设备进行虚拟化，例如，虚拟宽带远程接入服务器(broadbandremoteaccessserver，bras)、虚拟ip多媒体子系统(ipmultimediasubsystem，ims)，而在本申请中，能够对具备数据链路层配置的olt、onu设备进行虚拟化，保持了原有的olt和onu之间的数据链路层协议和原有的接入层网络的基本架构，并且，在业务编排时不需要考虑olt和onu之间的数据链路层协议交互。可见，在将终端接入核心网的流程中，终端仅需访问虚拟接入网交换机，而不必关心虚拟接入网交换机内部数据转发的具体细节，因此，使得终端接入核心网的流程更为简单。

值得注意的是，本申请中，虚拟接入网交换机的网络侧接口为实体olt的上联接口，包括实体olt的以太网接口，虚拟接入网交换机的用户侧接口为实体onu的用户侧接口，包括实体onu的以太网接口以及实体onu的普通老式电话业务(plainoldtelephoneservice，pots)接口，其中，实体onu的以太网接口包括实体onu的lan接口。如图3示出了本申请中虚拟接入网交换机的框架与接口的示例性示意图，其中，以太网接口1至以太网接口n为虚拟接入网交换机的网络侧接口，lan1、至lann为虚拟接入网交换机的用户侧接口。

在虚拟接入网交换机内部，olt的一个pon接口可以通过odn连接多个onu的pon接口。

现以终端进行宽带上网业务为例来对本申请提供的方法进行说明，终端1通过图3所示的lan2接口，并采用有线方式与虚拟接入网交换机连接，当终端1有业务需求时，终端1通过lan2接口向虚拟接入网交换机发送业务请求。

202、虚拟接入网交换机向控制器发送业务请求。

作为一种可能的实现方式，控制器包括软件定义网络(softwaredefinednetwork，sdn)控制器和netconf控制器，也可以为采用其他方式实现的软件或者硬件。

需要说明的是，虚拟接入网交换机还可以先向控制代理器发送该业务请求，再由控制代理器向控制器转发该业务请求。

203、响应于业务请求，控制器将终端接入核心网。

本申请的实施例提供的接入核心网的方法，与现有技术中接入网建设的复杂度较高相比，本申请中终端通过虚拟接入网交换机向控制器发送业务请求，从而由控制器根据业务请求控制虚拟接入网交换机将终端接入核心网，可见，在本申请中，可以由全局的控制器控制将终端接入核心网，而不需部署多个ems，降低了接入网建设的复杂度。

可以理解的是，在执行图2所示的方法流程之前，还需对虚拟接入网交换机进行初始化配置，其中，该初始化配置包括对olt、onu的初始化配置，以使虚拟接入网交换机根据初始化配置接入核心网，基于此，如图4所示，在步骤201、虚拟接入网交换机接收终端的业务请求之前，还可以执行步骤401至403。

401、控制器向控制代理器发送控制信息，以使得控制代理器生成配置参数项条目。

作为一种可能的实现方式，当虚拟接入网交换机中的olt上电后，控制代理器会在olt的cpu中加载运行，由控制器检测olt的上电信号，并对虚拟接入网交换机进行鉴权，即验证虚拟接入网交换机的合法性，在验证通过之后控制器向控制代理器下发与虚拟接入网交换机配置相关的控制信息,其中,控制信息是openflow格式和/或netconf格式的信息,然后,控制代理器需将openflow格式和/或netconf格式的控制信息转换为虚拟接入网交换机可以识别的配置参数项条目。

在本申请的实施例中，生成的配置参数项条目包括：虚拟接入网交换机的网络侧接口与用户侧接口的对应关系、网络侧接口与用户侧接口分别对应的vlan号以及虚拟接入网交换机的认证方式、onu远程管理逻辑通道配置、上网逻辑通道配置、onu工作模式配置。可以理解的是，本申请中配置参数项条目不仅仅局限于如上述所列举的条目，还可以包括与配置虚拟接入网交换机相关的其他条目。

402、控制代理器向虚拟接入网交换机发送配置参数项条目，以使得虚拟接入网交换机根据配置参数项条目进行配置。

403、虚拟接入网交换机在控制器的控制下接入核心网。

可以理解的是，配置好的虚拟接入网交换机可以接入核心网。

本申请的实施例提供的接入核心网的方法，由控制器向控制代理器发送控制信息，以使得控制代理器生成配置参数项条目，并由控制代理器向虚拟接入网交换机下发配置参数项条目，从而虚拟接入网交换机能够根据配置参数项条目进行配置，以在控制器的控制下接入核心网，为后续终端通过虚拟接入网交换机访问核心网的流程做准备。

需要说明的是，在终端接入核心网之后，终端通过网络收发数据报文的前提是数据报文要有明确的转发路径，因此，需要生成转发路径对应的转发项条目，基于此，如图5所示，在步骤203、控制器将终端接入核心网之后，还可以执行步骤501至504。

501、虚拟接入网交换机接收终端发送的数据报文。

其中，数据报文可以是终端开机之后向虚拟接入网交换机发送的任何类型的数据报文，例如，数据报文可以是用户浏览网页产生的数据报文。

502、虚拟接入网交换机向控制器发送数据报文。

503、控制器根据数据报文生成终端对应的转发项条目。

504、控制器向虚拟接入网交换机下发终端对应的转发项条目。

可以理解的是，在接收到终端对应的转发项条目之后，虚拟接入网交换机可以根据终端对应的转发项条目对终端的数据报文进行转发，此外，控制器也可以向控制代理器发送终端对应的转发项条目，以使得控制代理器根据终端对应的转发项条目控制虚拟接入网交换机的转发操作。

本申请的实施例提供的接入核心网的方法，虚拟接入网交换机将来自终端的无法按照已有规则匹配转发的数据报文转发至控制器，控制器能够根据终端发送的数据报文生成终端对应的转发项条目，因此，在后续流程中，若该终端仍然通过该虚拟接入网交换机访问核心网，则由于该虚拟接入网交换机中已经存在该终端对应的转发项条目，则虚拟接入网交换机可对该终端的数据报文进行转发，无需再次创建该终端对应的转发路径，简化了转发数据的流程。

值得注意的是，为了增强接入核心网系统的安全性，还可以对终端的数据报文进行检测处理，基于此，如图6所示，在步骤504、控制器向虚拟接入网交换机下发终端对应的转发项条目之后，还可以执行步骤601至609。

601、虚拟接入网交换机向控制代理器发送数据检测请求。

602、响应于数据检测请求,控制代理器确定数据报文的安全指数。

结合上述步骤504中的描述，控制器可以向控制代理器发送转发项条目，其中，作为一种可能的实现方式，控制器接收业务编排器下发的业务规则，然后，控制器在转发项条目中添加预设字段，该预设字段用于指示控制代理器确定安全指数的策略，并向控制代理器发送添加预设字段的转发项条目，以使得控制代理器通过转发项条目确定数据报文的安全指数。

作为一种可能的实现方式，可以基于每个数据报文的业务指向，并根据经验来设置每个数据报文的安全阈值。例如，根据历史数据统计结果，通常购物相关网页受到非法攻击的概率较高，则可以为浏览购物网页产生的数据报文设置一个数值较高的安全阈值，一旦浏览某一购物网页的终端1产生的数据报文1对应的安全指数低于安全阈值，说明数据报文1具有潜在的安全隐患。

603、若控制代理器确定数据报文的安全指数小于安全阈值，则控制虚拟接入网交换机丢弃数据报文。

作为一种可能的实现方式，为了对是否丢弃数据报文进行更为准确的判断，控制代理器在丢弃数据报文之前，可以向控制器发送告警信息，再由控制器进一步判断数据报文是否具有安全隐患，若是，则控制器向控制代理器发送一个确定反馈，以使得控制代理器在接收到确定反馈之后控制虚拟接入网交换机丢弃数据报文。

604、若控制代理器确定数据报文的安全指数大于或者等于安全阈值，则判断数据报文的数据量是否大于数据量阈值，若确定数据报文的数据量不大于数据量阈值，则执行步骤605，若控制代理器确定数据报文的数据量大于数据量阈值，则执行步骤606。

还需说明的是，若控制代理器确定数据报文的安全指数大于或等于安全阈值，说明数据报文自身并不携带类似于病毒的内容，但是，即使数据报文不携带病毒，该数据报文仍然可能对接入网络产生攻击。作为一种可能的实现方式，非法终端2可以持续地向控制器发送不携带病毒内容的数据报文，直至控制器的计算资源被消耗殆尽，造成控制器的功能瘫痪。在这种攻击方式中，由于数据报文的数据量异常大，而产生对控制器的破坏性影响。所以，为了避免非法终端使用大数据量的数据报文对控制器发起攻击，本申请中需对数据报文的数据量进行检测。

605、控制代理器控制虚拟接入网交换机，以使得虚拟接入网交换机转发数据报文。

606、控制代理器判断数据报文是否为流量式攻击数据报文，若是，则执行步骤607，若否，则执行步骤608至609。

其中，流量攻击数据报文即上述提及的出于攻击接入网目的且数据量异常大的数据报文。

607、控制代理器控制虚拟接入网交换机，以使得虚拟接入网交换机丢弃流量式攻击数据报文。

608、控制代理器对数据报文进行压缩处理，得到目标数据报文。

609、控制代理器向虚拟接入网交换机发送目标数据报文,以使得虚拟接入网交换机转发目标数据报文。

可以理解的是，当控制器确定当前接收的数据报文不是流量式攻击数据报文，而是合法终端所发送的数据量较大的数据报文时，需对合法终端的数据报文进行压缩处理，得到数据量较小的目标数据报文，以减轻控制器处理目标数据报文所使用的计算资源，从而降低控制器瘫痪的概率。

需要说明的是，作为一种可能的实现方式，本发明实施例还可以将告警信息输出到显示界面，以提示用户采取相应措施来处理系统中潜在的威胁因素。

以下通过宽带业务开通流程来说明本发明实施例提供的方案。

1、业务编排器接收上一级设备下发的宽带业务开通的宽带业务参数，宽带业务参数包括：带宽参数、宽带账号、终端地址。

2、若业务编排器确定该终端具备开通宽带业务的条件，则根据宽带业务参数生成宽带业务逻辑和宽带业务规则，其中，生成的宽带业务逻辑和宽带业务规则包括虚拟接入网交换机的带宽、虚拟接入网交换机的逻辑id、虚拟接入网交换机的密码。

3、业务编排器将生成的宽带业务规则和宽带业务逻辑发送给控制器，由控制器根据宽带业务逻辑和宽带业务规则进行资源分配，例如，为终端分配olt和onu；此外，控制器根据olt和onu的接口类型等信息，生成netconf消息和yang模型等控制消息，并且，控制器生成网络数据的转发规则。

4、控制器向控制代理器发送控制信息，控制代理器根据控制信息生成配置参数项条目。

5、控制代理器向虚拟接入网交换机发送配置参数项条目，以使得虚拟接入网交换机根据配置参数项条目进行配置。

其中，配置参数项条目包括onu的认证方式、onu远程管理逻辑通道配置、上网逻辑通道配置、onu工作模式配置、dba配置。

6、虚拟接入网交换机在控制器的控制下接入核心网。

7、当终端有业务请求时，虚拟接入网交换机接收终端的业务请求。

8、虚拟接入网交换机向控制器发送业务请求。

9、响应于业务请求，控制器控制虚拟接入网交换机，以使得虚拟接入网交换机将终端接入核心网。

10、虚拟接入网交换机接收终端发送的数据报文。

11、虚拟接入网交换机向控制器发送数据报文。

12、控制器根据数据报文生成终端对应的转发项条目。

13、控制器向虚拟接入网交换机下发终端对应的转发项条目。

14、虚拟接入网交换机向控制代理器发送数据检测请求。

15、响应于数据检测请求,控制代理器确定数据报文的安全指数。

16、若控制代理器确定数据报文的安全指数小于安全阈值，则控制虚拟接入网交换机丢弃数据报文；若控制代理器确定数据报文的安全指数大于或者等于安全阈值，则判断数据报文的数据量是否大于数据量阈值，若确定数据报文的数据量不大于数据量阈值，则控制虚拟接入网交换机，以使得虚拟接入网交换机转发数据报文。

17、若控制代理器确定数据报文的数据量大于数据量阈值，则判断数据报文是否为流量式攻击数据报文，若是，则控制代理器控制虚拟接入网交换机，以使得虚拟接入网交换机丢弃流量式攻击数据报文；若否，则控制代理器对数据报文进行压缩处理，得到目标数据报文，然后，控制代理器向虚拟接入网交换机发送目标数据报文,以使得虚拟接入网交换机转发目标数据报文。

对应于上述的方法流程，为了解决现有技术中接入网建设的复杂度较高的问题，本申请实施例提供了一种接入核心网的系统，如图7所示，该系统包括：控制器704、控制代理器703、虚拟接入网交换机702、终端701。

虚拟接入网交换机702,用于接收终端701的业务请求；向控制器704发送业务请求；

控制器704,用于响应于业务请求，将终端701接入核心网。

其中，虚拟接入网交换机702包括光线路终端701olt和光网络单元onu，olt和onu之间通过光分配网络odn连接，虚拟接入网交换机702的网络侧接口为实体olt的上联接口，实体olt的上联接口包括实体olt的以太网接口，虚拟接入网交换机702的用户侧接口为实体onu的用户侧接口，实体onu的用户侧接口包括实体onu的以太网接口以及实体onu的普通老式电话业务pots接口。

在本申请实施例提供的另一种实现方式中，控制器704,还用于向控制代理器703发送控制信息，以使得控制代理器703生成配置参数项条目；

控制代理器703,用于向虚拟接入网交换机702发送配置参数项条目，以使得虚拟接入网交换机702根据配置参数项条目进行配置；

虚拟接入网交换机702,还用于在控制器704的控制下接入核心网。

在本申请实施例提供的另一种实现方式中，虚拟接入网交换机702,还用于接收终端701发送的数据报文；向控制器704发送数据报文；

控制器704,还用于根据数据报文生成终端701对应的转发项条目；向虚拟接入网交换机702下发终端701对应的转发项条目。

在本申请实施例提供的另一种实现方式中，虚拟接入网交换机702,还用于向控制代理器703发送数据检测请求；

控制代理器703,还用于响应于数据检测请求,确定数据报文的安全指数；若确定数据报文的安全指数小于安全阈值，则控制虚拟接入网交换机702，以使得虚拟接入网交换机702丢弃数据报文；若确定数据报文的安全指数大于或者等于安全阈值，则判断数据报文的数据量是否大于数据量阈值，若确定数据报文的数据量不大于数据量阈值，则控制虚拟接入网交换机702，以使得虚拟接入网交换机702转发数据报文；若确定数据报文的数据量大于数据量阈值，则判断数据报文是否为流量式攻击数据报文；若是，则控制虚拟接入网交换机702，以使得虚拟接入网交换机702丢弃流量式攻击数据报文；若否，则对数据报文进行压缩处理，得到目标数据报文；向虚拟接入网交换机702发送目标数据报文,以使得虚拟接入网交换机702转发目标数据报文。

本申请的实施例提供的接入核心网的系统，与现有技术中接入网建设的复杂度较高相比，本申请中终端通过虚拟接入网交换机向控制器发送业务请求，从而由控制器根据业务请求控制虚拟接入网交换机将终端接入核心网，可见，在本申请中，可以由全局的控制器控制将终端接入核心网，而不需部署多个ems，降低了接入网建设的复杂度。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在可读取的存储介质中，如计算机的软盘，硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例的方法。

以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何在本发明揭露的技术范围内的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。