本申请涉及网络通信技术,特别涉及报文转发方法和装置。
背景技术:
:目前,诸如以太网上承载的点到点协议(pppoe:pointtopointprotocoloverethernet)业务、以太网上承载的ip协议(ipoe:ipoverethernet)业务等业务中的报文,大部分都是由采用网络处理器(np:networkprocessor)芯片的网络设备或者由采用基于x86芯片的服务器处理。对于np芯片备,具有较高的报文转发能力,但是成本高昂,很难广泛使用。对于x86芯片,其虽然成本低廉,但是报文转发能力较低。技术实现要素:本申请提供了报文转发方法和装置,以在低成本前提下实现较高的报文转发能力。本申请提供的技术方案包括:一种报文转发方法,该方法应用于作为数据平面dp设备的交换机,包括:通过本地用户侧接入端口接收来自客户端的报文;若识别出所述报文为协议控制报文,则通过本dp设备与作为控制平面cp设备的虚拟宽带远程接入服务器vbras之间的vxlan隧道将所述协议控制报文发送给所述cp设备;若识别出所述报文为数据报文,且所述数据报文的目的mac地址为本dp设备配置的网关虚拟交换接口vsi的mac地址,则对所述数据报文进行三层转发,其中,所述dp设备配置的网关vsi的mac地址与所述cp设备配置的网关vsi的mac地址相同。一种报文转发方法,该方法应用于作为控制平面cp设备的虚拟宽带远程接入服务器vbras,包括:下发本cp设备配置的网关虚拟交换接口vsi的mac地址,以指示所述dp设备配置的网关vsi的mac地址与本cp设备配置的网关vsi的mac地址相同;接收所述dp设备发送的协议控制报文,对所述协议控制报文进行处理。一种报文转发装置,该装置应用于作为数据平面dp设备的交换机,包括:识别单元,用于识别通过本地用户侧接入端口接收的来自客户端的报文;协议报文处理单元,用于在所述识别单元识别出所述报文为协议控制报文时,通过本dp设备与作为控制平面cp设备的虚拟宽带远程接入服务器vbras之间的vxlan隧道将所述协议控制报文发送给所述cp设备;数据报文处理单元,用于在所述识别单元识别出所述报文为数据报文、且所述数据报文的目的mac地址为本dp设备配置的网关虚拟交换接口vsi的mac地址时,对所述数据报文进行三层转发,其中,所述dp设备配置的网关vsi的mac地址与所述cp设备配置的网关vsi的mac地址相同。一种报文转发装置,该装置应用于作为控制平面cp设备的虚拟宽带远程接入服务器vbras,包括:下发单元,用于下发本cp设备配置的网关虚拟交换接口vsi的mac地址,以指示所述dp设备配置的网关vsi的mac地址与本cp设备配置的网关vsi的mac地址相同;协议控制单元,用于接收所述dp设备发送的协议控制报文,对所述协议控制报文进行处理。由以上技术方案可以看出,本申请中,作为dp设备的交换机区分协议控制报文和数据报文,对于协议控制报文,则将协议控制报文发送给作为cp设备的vbras进行处理,而对于数据报文,基于dp设备配置的网关vsi的mac地址与所述cp设备配置的网关vsi的mac地址相同,则当数据报文的目的mac地址为本dp设备配置的网关vsi的mac地址时对数据报文进行三层转发,实现了作为dp设备的交换机仅执行数据转发处理,发挥了交换机原本具有的高报文转发能力,实现较高的报文转发能力,提高了诸如pppoe业务、ipoe业务等业务中的转发性能。而由于交换机将控制处理转移至作为cp设备的vbras,发挥了vbras原本具有的高控制处理能力,实现较高的控制处理能力,提高了诸如pppoe业务、ipoe业务等业务中的控制性能,如上描述,vbras是通用服务器上虚拟出的,而通用服务器比如采用x86芯片的服务器,相比目前昂贵的np芯片,成本低廉,这实现了本申请通过低成本即可实现高控制处理能力和高报文转发能力。附图说明此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。图1为示出了cp设备和dp设备的应用组网示意图;图2为本申请提供的方法流程图;图3为本申请提供的另一方法流程图;图4为本申请提供的qos控制实现流程图;图5为本申请提供的装置结构示意图;图6为本申请提供的另一装置结构示意图。具体实施方式网络功能虚拟化(nfv:networkfunctionvirtualization)组网场景下,在通用服务器比如采用x86芯片的服务器上创建并运行虚拟宽带远程接入服务器(vbras:virtualbroadbandremoteaccessserver)替换物理宽带远程接入服务器(bras:broadbandremoteaccessserver),可以降低部署难度及成本。vbras所处的通用服务器具有的高效cpu处理能力和高效内存扩展能力,这使得vbras也具有高控制处理能力,但是,局限于vbras所处的通用服务器的硬件网卡能力,vbras具有低报文转发能力。而nfv组网场景下,交换机比如pop交换机,一般采用专用集成电路(asci)芯片,具备较高的报文转发能力和低控制处理能力。基于此,本申请中,将原本由交换机执行的控制处理转至nfv组网场景中具有强大的控制处理能力的vbras;而交换机继续执行数据转发处理。为便于描述,在本申请中,vbras作为协议控制平面(cp:controlplane)设备,而交换机作为数据平面(dp:dataplane)设备。图1简单示出了cp设备和dp设备的应用组网示意图。图1仅简单以一个dp设备和一个cp设备为例示意。在具体应用时,可有多个dp设备和多个cp设备。下面通过图2描述作为dp设备的交换机执行的数据转发处理:参见图2,图2为本申请提供的方法流程图。如图2所示,该流程应用于作为dp设备的交换机,可包括以下步骤:步骤201,作为dp设备的交换机通过本地用户侧接入端口接收来自客户端的报文,若识别出所述报文为协议控制报文,则执行步骤202,若识别出所述报文为数据报文,则执行步骤203。对于ipoe的协议控制报文,其一般包含动态主机配置协议(dhcp:dynamichostconfigurationprotocol)和地址解析协议(arp:addressresolutionprotocol)两种协议类型的控制报文,这两种协议类型的控制报文,目前普通的交换机都可以识别。而对于pppoe的协议控制报文,目前,芯片性能低的交换机无法识别。为方便本步骤201中交换机识别pppoe的协议控制报文,作为本申请的一个实施例,可通过自定义访问控制列表(acl:accesscontrolline)的方式实现,具体为:在交换机上设置acl(记为第一acl)。acl用于指示如何识别pppoe协议控制报文,其包括了从偏移起始点开始偏移指示的指定偏移量应得到的字段值。作为一个实施例,pppoe特征参数包括以太网类型字段值8863和代码(code)字段值0x09。以pppoe中的发现初始(padi:pppoeactivediscoveryinitiation)报文为例,在padi报文中,pppoe特征参数的以太网类型字段值8863由padi报文中从二层头开始偏移20byte得到的字段值以及从二层头开始偏移22byte得到的字段值组成,pppoe特征参数的代码(code)字段值0x09由padi报文中从二层头开始偏移28byte得到的字段值以及从二层头开始偏移30byte得到的字段值组成。基于此,第一acl可设置为:rule0permitl288ff20l263ff22l200ff28l209ff30;上述rule0permitl288ff20l263ff22l200ff28l209ff30意思是:从二层头开始偏移20byte匹配88,从二层头开始偏移22byte匹配63,从二层头开始偏移28byte匹配00,从二层头开始偏移30byte匹配09。其中,从二层头开始偏移20byte匹配88,从二层头开始偏移22byte匹配63,相当于匹配了以太网类型8863,从二层头开始偏移28byte匹配00,从二层头开始偏移30byte匹配09,相当于匹配了code字段的值0x09。基于此,上述步骤201中,识别协议控制报文可包括:依据第一acl指示的偏移起始点从所述报文中找到偏移起始点,并检查所述报文中从所述偏移起始点开始偏移所述第一acl指示的指定偏移量得到的字段值是否匹配所述acl指示的字段值,如果是,识别所述报文为协议控制报文(具体是pppoe的协议控制报文)。通过上述方式能够实现识别pppoe的协议控制报文。步骤202,通过本dp设备与作为cp设备的vbras之间的可扩展虚拟局域网(vxlan:virtualextensiblelan)隧道将所述协议控制报文发送给所述cp设备。在本申请中,上述vxlan隧道是由dp设备依据本dp设备与cp设备之间预先建立的网络配置(netconf)通道接收的vxlan隧道配置动态在dp设备与cp设备之间建立的,具体建立方式类似现有vxlan隧道建立方式,不再赘述。在应用中,一个dp设备可能同时与多个cp设备建立vxlan隧道,针对此种情况,作为一个实施例,在本申请中,步骤202可为:步骤a1,依据所述协议控制报文的qinq封装中的内层vlan标签(tag)、外层vlantag确定对应的vxlanid。qinq技术(也称stackedvlan或doublevlan),其实现将用户私网vlantag封装在公网vlantag中,使报文带着两层vlantag穿越运营商的骨干网络(公网)。其中,qinq封装中内层vlantag是私网vlantag,外层vlantag是公网vlantag。在应用中,一对私网vlantag和公网vlantag唯一对应一个vxlanid。基于此,本步骤a1中,根据预先配置的vlantag对(私网vlantag和公网vlantag)和vxlanid之间的对应关系,确定所述协议控制报文的qinq封装中的内层vlantag、外层vlantag对应的vxlanid。步骤a2,在本dp与各cp之间的vxlan隧道中找到该确定的vxlanid所绑定的vxlan隧道,通过该确定的vxlan隧道发送所述协议控制报文。具体地,通过该确定的vxlan隧道发送所述协议控制报文前,还需对所述协议控制报文进行vxlan封装,vxlan封装头中携带上述确定的vxlanid。通过上面描述,最终dp设备将协议控制报文发送给作为cp设备的vbras,以由vbras处理该协议控制报文,具体见下文图3所示流程。而dp设备将协议控制报文发送给作为cp设备的vbras进行处理,充分发挥vbras的高控制处理能力,实现了业务的高控制处理能力,并且,vbras是通用服务器上虚拟出的,而通用服务器比如采用x86芯片的服务器,成本低廉,这相当于实现了低成本的高控制处理能力。需要说明的是,在本申请中,当协议控制报文发给作为cp设备的vbras后,若协议控制报文是用于认证的控制报文,则作为cp设备的vbras与外部认证设备比如验证、授权和记账(aaa:authentication、authorization、accounting)交互对协议控制报文携带的客户端的认证信息进行认证,若协议控制报文是用于请求ip地址的控制报文,则作为cp设备的vbras与外部动态主机配置协议(dhcp:dynamichostconfigurationprotocol)服务器交互为客户端分配ip地址,等等。但不管怎样,客户端发送的协议控制报文最终都上送至作为cp设备的vbras进行处理,如此,对于客户端而言,其会认为其网关为作为cp设备的vbras。而本申请中,为了发挥作为dp设备的交换机原本具有的高报文转发能力,还需要交换机执行数据报文转发。如此,为了保证交换机执行数据报文转发,在本申请中,作为一个实施例,可限定dp设备配置的网关虚拟交换接口(vsi:virtualswitchinterface)的mac地址与cp设备所配置的网关vsi的mac地址相同(具体见图3所示流程中步骤301描述)。如此,当客户端发送的数据报文时,因为客户端认为其网关为cp设备,则客户端发送的上述数据报文的目的mac地址为cp设备配置的网关vsi的mac地址,基于dp设备配置的网关vsi的mac地址与cp设备所配置的网关vsi的mac地址相同,则当dp设备收到数据报文时,就会发现数据报文的目的mac地址为其配置的网关vsi的mac地址,如此,dp设备直接转发数据报文,具体见步骤203。步骤203,当所述数据报文的目的mac地址为本dp设备配置的网关vsi的mac地址,则对所述数据报文进行三层转发,其中,所述dp设备配置的网关vsi的mac地址与所述cp设备配置的网关vsi的mac地址相同。具体地,本步骤203中,对所述数据报文进行三层转发具体可为:对数据报文执行qinq解封装和传输协议pppoe/ipoe解封装,查找三层路由表向公网或者数据中心等目的地转发。通过步骤203描述可以看出,通过dp设备配置的网关vsi的mac地址与所述cp设备配置的网关vsi的mac地址相同,最终交换机可执行数据报文转发,发挥了交换机原本具有的高报文转发能力。至此,完成图2所示流程。通过图2所示流程可以看出,在本申请中,作为dp设备的交换机区分协议控制报文和数据报文,对于协议控制报文,则将协议控制报文发送给作为cp设备的vbras进行处理,而对于数据报文,基于dp设备配置的网关vsi的mac地址与所述cp设备配置的网关vsi的mac地址相同,则当数据报文的目的mac地址为本dp设备配置的网关vsi的mac地址时对数据报文进行三层转发,实现了作为dp设备的交换机仅执行数据转发处理,发挥了交换机原本具有的高报文转发能力,提高了诸如pppoe业务、ipoe业务等业务中的转发性能。而由于交换机将控制处理转移至作为cp设备的vbras,发挥了vbras原本具有的高控制处理能力,提高了诸如pppoe业务、ipoe业务等业务中的控制性能,如上描述,vbras是通用服务器上虚拟出的,而通用服务器比如采用x86芯片的服务器,相比目前昂贵的np芯片,这实现了本申请通过低成本即可实现高控制处理能力和高报文转发能力。下面通过图3描述作为cp设备的vbras如何执行控制处理:参见图3,图3为本申请提供的另一方法流程图。如图3所示,该流程可包括以下步骤:步骤301,作为cp设备的vbras下发本cp设备配置的vsi的mac地址,以指示所述dp设备配置的网关vsi的mac地址与本cp设备配置的网关vsi的mac地址相同。在本申请中,作为cp设备的vbras可通过本cp设备与dp设备之间预先建立的netconf通道下发本cp设备配置的vsi的mac地址。本步骤301之所以下发本cp设备配置的vsi的mac地址,其目的是保证dp设备配置的网关vsi的mac地址与cp设备配置的网关vsi的mac地址相同,以使得交换机即可转发数据报文,具体见上述步骤203,发挥作为dp设备的交换机原本具有的高报文转发能力。步骤302,接收所述dp设备发送的协议控制报文,对所述协议控制报文进行处理。这里,对所述协议控制报文进行处理包括但不限于:步骤b1,提取协议控制报文携带的客户端信息;步骤b2,若协议控制报文是用于认证的协议控制报文,执行步骤b3,而若协议控制报文是用于请求ip地址的协议控制报文,则执行步骤b4。步骤b3,与外部认证设备比如aaa服务器交互对协议控制报文携带的客户端的认证信息进行认证,并在所述客户端认证信息通过所述外部认证设备的认证时,向所述dp设备下发用户信息流表项,用户信息流表项用于指导所述dp设备向所述客户端发送数据报文。本步骤b3中,cp设备可通过本cp设备与所述dp设备之间已建立的开放流(openflow)通道下发用户信息流表项至所述dp设备。在本申请中,上述openflow通道是由dp设备依据本dp设备与cp设备之间预先建立的网络配置(netconf)通道接收的openflow通道配置动态在dp设备与cp设备之间建立的,具体建立方式类似现有openflow通道建立方式,不再赘述。至于用户信息流表项,下文会进行详细描述,这里暂不赘述。步骤b4,与外部dhcp服务器交互为客户端分配ip地址,等等。至此,完成图3所示流程。通过图3所示流程可以看出,在本申请中,cp设备通过配置本地网关vsi的mac地址与dp设备配置的网关vsi的mac地址相同,能够使得交换机转发数据报文,具体见上述步骤203,发挥作为dp设备的交换机原本具有的高报文转发能力,实现较高的报文转发能力,提高诸如pppoe业务、ipoe业务等业务中的转发性能。并且,在本申请中,作为cp设备的vbras代替交换机执行原本由交换机执行的控制处理,发挥了vbras原本具有的高控制处理能力,实现较高的控制处理能力,提高了诸如pppoe业务、ipoe业务等业务中的控制性能,如上描述,vbras是通用服务器上虚拟出的,而通用服务器比如采用x86芯片的服务器,相比目前昂贵的np芯片,这实现了本申请通过低成本即可实现高控制处理能力和高报文转发能力。在图3所示的流程中,作为一个实施例,上述cp设备下发至dp设备的用户信息流表项主要由表1所示的两部分:客户端信息、出端口组装而成。客户端信息出端口表1其中,客户端信息主要包括上述协议控制报文所携带的以下内容:客户端的ip地址、mac地址、协议控制报文的vxlan封装头中的vxlanid、协议控制报文的qinq封装信息、pppoe封装信息或ipoe封装信息。其中,出端口可由cp设备通过以下方式确定:cp设备根据客户端信息中qinq封装信息包含的内外层vlan(公网vlan和私网vlan)从作为dp设备的交换机上查找与内外层vlan绑定的接入电路(ac:accesscircuit)口,将作为dp设备的交换机上与ac口绑定的用户侧端口作为上述出端口。这里,当作为dp设备的交换机通过用户侧端口接收到报文时,其会在本地不存在报文的qinq封装中内外层vlan所绑定的ac口时创建与报文的qinq封装中内外层vlan所绑定的ac口。在应用中,作为dp设备的交换机的不同用户侧端口支持的内外层vlan不同。基于上面描述的cp设备下发用户信息流表项的描述,则作为dp设备的交换机可进一步执行以下步骤:通过本dp设备与所述cp设备之间的openflow通道接收所述cp设备下发的用户信息流表项。dp设备接收的用户信息流表项如表1所示,用户信息流表项用于指导本dp设备向所述客户端发送数据报文。如此,当dp设备通过网络侧接口收到数据报文(下行数据报文),则以数据报文的目的ip地址为关键字查找包含该关键字的用户信息流表项,基于查找到的用户信息流表项中的qinq封装信息、pppoe封装信息或ipoe封装信息(以pppoe封装信息为例)对数据报文执行qinq封装、pppoe封装并转发。需要说明的是,为了防止不法报文的攻击,在本申请中,当dp设备通过网络侧接口收到数据报文(记为下行数据报文),若以数据报文的目的ip地址为关键字未查找到包含该关键字的用户信息流表项,则作为一个实施例,可认为该数据报文为攻击报文,丢弃该数据报文(记为下行数据报文),实现了下行数据报文的防攻击。在本申请中,dp设备还需要对本地用户侧端口接收的数据报文(记为上行数据报文)进行防攻击。借助用户信息流表项,则dp设备可以数据报文(记为上行数据报文)的源ip地址、源mac地址为关键字查找包含该关键字的用户信息流表项,若查找到,则认为数据报文(记为上行数据报文)为合法报文,反之,则认为数据报文(上行数据报文)为不法报文,可直接丢弃。但是,在应用中,dp设备因为本身芯片性能可能不足以支持按照数据报文(记为上行数据报文)的源ip地址、源mac地址为关键字查找包含该关键字的用户信息流表项。针对这种情况,作为一个实施例,则可以采用ipmac绑定的方式实现上行数据报文的防攻击。其中,采用ipmac绑定的方式实现上行数据报文的防攻击,首先需要作为cp设备的vbras在通过本cp设备与所述dp设备之间的openflow通道下发用户信息流表项给dp设备时进一步下发用于生成与所述用户信息流表项相关联的防攻击策略的指令。该指令用于指示所述dp设备生成所述用户信息流表项相关联的防攻击策略。对应cp设备执行的上述下发指令的操作,则作为dp设备的交换机可执行以下步骤:步骤c1,通过本dp设备与所述cp设备之间的openflow通道接收所述cp设备下发的用于生成所述用户信息流表项相关联的防攻击策略的指令;步骤c2,根据所述指令生成所述用户信息流表项相关联的防攻击策略,所述防攻击策略包含所述用户信息流表项中所述客户端的ip地址、mac地址。基于该防攻击策略,则上述步骤203中对数据报文进行三层转发包括:查找包含所述数据报文的源ip地址、源mac地址的防攻击策略,如果找到,对所述数据报文进行三层转发。作为一个实施例,如果未查找到包含所述数据报文的源ip地址、源mac地址的防攻击策略,则丢弃数据报文。实现了上行数据报文的防攻击。如上描述可以看出,在本申请中,防攻击策略用于指导dp设备对本地用户侧接口接收的数据报文进行防攻击,其可通过自定义acl(记为第二acl)实现,具体可为:如果数据报文的源ip地址与第二acl中ip地址匹配,数据报文的源mac地址与第二acl中mac地址匹配,则允许转发。在本申请中,作为dp设备的交换机还可对报文执行服务质量(qos:qualityofservice)控制。其中,为了保证作为dp设备的交换机对报文执行qos控制,则作为一个实施例,本申请中,作为dp设备的交换机还可执行图4所示流程:参见图4,图4为本申请提供的qos控制实现流程图。如图4所示,该流程可包括:步骤401,作为dp设备的交换机接收外部认证设备在所述客户端通过认证后下发的用户模板userprofile的标识。在本申请中,外部认证设备、作为dp设备的交换机会预先配置相同的多个用户模板(userprofile)。当外部认证设备检查客户端通过认证后,其根据预先配置的认证信息与userprofile之间的对应关系从本地配置的userprofile中选择该通过认证的客户端的认证信息对应的userprofile。之后,外部认证设备将选择的userprofile的标识发送给接入该通过认证的客户端的dp设备。步骤402,作为dp设备的交换机在本地配置的所有userprofile中找到该接收的userprofile标识对应的userprofile,依据将找到的userprofile中的策略(policy)生成qos策略,根据所述qos策略对接入所述客户端的用户侧接入端口进行qos控制。下面以pppoe业务为例对图4进行举例描述:(1)上行数据报文限速:作为一个实施例,这里用于对上行数据报文限速的qos策略可通过第二acl实现。第二acl中匹配项包括:pppoe类型的上行数据报文;动作项包括:上行数据报文限速。对于pppoe,dp设备有可能无法直接识别出pppoe类型的数据报文的ip地址。针对此种情况,则第二acl中匹配项可按照偏移量的方式定义,具体可为:从报文的指定位置开始偏移指定偏移量得到的字段值,指定位置、指定偏移量可根据pppoe定义的源ip地址字段的位置自定义设置。(2)下行数据报文限速:作为一个实施例,这里用于对下行数据报文限速的qos策略可通过第三acl实现。第三acl中的匹配项包括:pppoe类型的下行数据报文;动作项包括:对下行数据报文限速。对于pppoe,dp设备有可能无法直接识别出pppoe类型的数据报文的ip地址。针对此种情况,则第三acl中匹配项可按照偏移量的方式定义,具体可为:从报文的指定位置开始偏移指定偏移量得到的字段值,指定位置、指定偏移量可根据pppoe定义的源ip地址字段的位置自定义设置。(3),下行数据报文统计作为一个实施例,这里用于对下行数据报文统计的qos策略可通过第四acl实现。第四acl中的匹配项包括:pppoe类型的下行数据报文;动作项包括:统计下行数据报文。对于pppoe,dp设备有可能无法直接识别出pppoe类型的数据报文的ip地址。针对此种情况,则第四acl中匹配项可按照偏移量的方式定义,具体可为:从报文的指定位置开始偏移指定偏移量得到的字段值,指定位置、指定偏移量可根据pppoe定义的源ip地址字段的位置自定义设置。以上是以pppoe业务为例描述的图4所示流程,对于ipoe业务,因为目前作为dp设备的交换机可识别ipoe业务,则相比pppoe业务实现比较简单,无需按照偏移量设置acl的匹配项,但具体qos策略实现类似。通过图4所示流程,实现了dp设备的qos控制。至此,完成本申请提供的方法描述。下面对本申请提供的装置进行描述:参见图5,图5为本申请提供的装置结构图。该装置应用于作为数据平面dp设备的交换机,包括:识别单元501,用于识别通过本地用户侧接入端口接收的来自客户端的报文;协议报文处理单元502,用于在识别单元501识别出所述报文为协议控制报文时,通过本dp设备与作为控制平面cp设备的虚拟宽带远程接入服务器vbras之间的vxlan隧道将所述协议控制报文发送给所述cp设备;数据报文处理单元503,用于在识别单元501识别出所述报文为数据报文、且所述数据报文的目的mac地址为本dp设备配置的网关虚拟交换接口vsi的mac地址时,对所述数据报文进行三层转发,其中,所述dp设备配置的网关vsi的mac地址与所述cp设备配置的网关vsi的mac地址相同。作为一个实施例,识别单元501具体用于依据本地访问控制列表acl指示的偏移起始点从所述报文中找到偏移起始点,并检查所述报文中从找到的偏移起始点开始偏移所述acl指示的指定偏移量得到的字段值是否匹配所述acl指示的字段值,如果是,识别所述报文为协议控制报文。作为一个实施例,该装置还包括:表项单元504,用于接收外部认证设备在所述客户端通过认证后下发的用户模板userprofile的标识;在本地配置的userprofile中找到所述标识对应的userprofile,依据找到的userprofile中的策略policy生成qos策略,根据所述qos策略对接入所述客户端的用户侧接入端口进行qos控制。作为一个实施例,表项单元504进一步用于接收所述cp设备下发的用户信息流表项;所述用户信息流表项用于指导本dp设备向所述客户端发送数据报文;基于此,数据报文处理单元503当通过本地网络侧接口接收发向所述客户端的数据报文时,依据所述用户信息流表项向所述客户端转发数据报文。作为一个实施例,表项单元504进一步用于接收所述cp设备下发的用于生成所述用户信息流表项相关联的防攻击策略的指令,根据所述指令生成所述用户信息流表项相关联的防攻击策略,所述防攻击策略包含所述用户信息流表项中所述客户端的ip地址、mac地址;基于此,数据报文处理单元503对数据报文进行三层转发包括:查找包含所述数据报文的源ip地址、源mac地址的防攻击策略,如果找到,对所述数据报文进行三层转发。至此,完成图5所示装置的结构描述。参见图6,图6为本申请提供的另一装置结构图。该装置应用于作为控制平面cp设备的虚拟宽带远程接入服务器vbras,包括:下发单元601,用于下发本cp设备配置的网关虚拟交换接口vsi的mac地址,以指示所述dp设备配置的网关vsi的mac地址与本cp设备配置的网关vsi的mac地址相同;协议控制单元602,用于接收所述dp设备发送的协议控制报文,对所述协议控制报文进行处理。作为一个实施例,所述协议控制报文包括用于认证的协议控制报文;协议控制单元602对协议控制报文进行处理包括:与外部认证设备交互对协议控制报文携带的客户端认证信息进行认证,并在所述客户端认证信息通过所述外部认证设备的认证时,向所述dp设备下发用户信息流表项,所述用户信息流表项用于指导所述dp设备向所述客户端发送数据报文。作为一个实施例,协议控制单元602进一步向所述dp设备下发用于生成与所述用户信息流表项相关联的防攻击策略的指令,以指示所述dp设备依据所述指令生成所述用户信息流表项相关联的防攻击策略,所述防攻击策略用于指导dp设备对本地用户侧接口接收的数据报文进行防攻击。至此,完成图6所示装置的结构描述。以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。当前第1页12