[发明专利]报文转发方法和装置

权利要求书

1.一种报文转发方法，其特征在于，该方法应用于作为数据平面DP设备的交换机，包括：

通过本地用户侧接入端口接收来自客户端的报文；

若识别出所述报文为协议控制报文，则通过本DP设备与作为控制平面CP设备的虚拟宽带远程接入服务器vBRAS之间的VXLAN隧道将所述协议控制报文发送给所述CP设备；

若识别出所述报文为数据报文，且所述数据报文的目的MAC地址为本DP设备配置的网关虚拟交换接口VSI的MAC地址，则对所述数据报文进行三层转发，其中，所述DP设备配置的网关VSI的MAC地址与所述CP设备配置的网关VSI的MAC地址相同。

2.根据权利要求1所述的方法，其特征在于，所述识别出所述报文为协议控制报文包括：

依据本地访问控制列表ACL指示的偏移起始点从所述报文中找到偏移起始点，并检查所述报文中从找到的偏移起始点开始偏移所述ACL指示的指定偏移量得到的字段值是否匹配所述ACL指示的字段值，如果是，识别所述报文为协议控制报文。

3.根据权利要求1所述的方法，其特征在于，该方法还包括：

接收所述CP设备下发的用户信息流表项；所述用户信息流表项用于指导本DP设备向所述客户端发送数据报文；

当通过本地网络侧接口接收发向所述客户端的数据报文时，依据所述用户信息流表项向所述客户端转发数据报文。

4.根据权利要求3所述的方法，其特征在于，该方法进一步包括：

接收所述CP设备下发的用于生成所述用户信息流表项相关联的防攻击策略的指令；

根据所述指令生成所述用户信息流表项相关联的防攻击策略，所述防攻击策略包含所述用户信息流表项中所述客户端的IP地址、MAC地址；

所述对数据报文进行三层转发包括：查找包含所述数据报文的源IP地址、源MAC地址的防攻击策略，如果找到，对所述数据报文进行三层转发。

5.根据权利要求1所述的方法，其特征在于，该方法进一步包括：

接收外部认证设备在所述客户端通过认证后下发的用户模板User Profile的标识；

在本地配置的User Profile中找到所述标识对应的User Profile，依据找到的User Profile中的策略Policy生成QoS策略，根据所述QoS策略对接入所述客户端的用户侧接入端口进行QoS控制。

6.一种报文转发方法，其特征在于，该方法应用于作为控制平面CP设备的虚拟宽带远程接入服务器vBRAS，包括：

下发本CP设备配置的网关虚拟交换接口VSI的MAC地址，以指示所述DP设备配置的网关VSI的MAC地址与本CP设备配置的网关VSI的MAC地址相同；

接收所述DP设备发送的协议控制报文，对所述协议控制报文进行处理。

7.根据权利要求6所述的方法，其特征在于，所述协议控制报文包括用于认证的协议控制报文；

所述对协议控制报文进行处理包括：与外部认证设备交互对协议控制报文携带的客户端认证信息进行认证，并在所述客户端认证信息通过所述外部认证设备的认证时，向所述DP设备下发用户信息流表项，所述用户信息流表项用于指导所述DP设备向所述客户端发送数据报文。

8.根据权利要求7所述的方法，其特征在于，所述方法还包括：

向所述DP设备下发用于生成与所述用户信息流表项相关联的防攻击策略的指令，以指示所述DP设备依据所述指令生成所述用户信息流表项相关联的防攻击策略，所述防攻击策略用于指导DP设备对本地用户侧接口接收的数据报文进行防攻击。

9.一种报文转发装置，其特征在于，该装置应用于作为数据平面DP设备的交换机，包括：

识别单元，用于识别通过本地用户侧接入端口接收的来自客户端的报文；

协议报文处理单元，用于在所述识别单元识别出所述报文为协议控制报文时，通过本DP设备与作为控制平面CP设备的虚拟宽带远程接入服务器vBRAS之间的VXLAN隧道将所述协议控制报文发送给所述CP设备；

数据报文处理单元，用于在所述识别单元识别出所述报文为数据报文、且所述数据报文的目的MAC地址为本DP设备配置的网关虚拟交换接口VSI的MAC地址时，对所述数据报文进行三层转发，其中，所述DP设备配置的网关VSI的MAC地址与所述CP设备配置的网关VSI的MAC地址相同。