WO2009127128A1 - 一种防止以太无源光网络中下行数据洪泛的方法 - Google Patents

Description

一种防止以太无源光网络中下行数据洪泛的方法

技术领域

本发明涉及 EPON ( Ethernet Passive Optical Network , 以太无源光网络） 接入领域， 尤其涉及一种 ΕΡΟΝ中防止下行数据洪泛的方法。 背景技术

以太网技术以其良好的经济性、互通性和易用性等优势得到了普遍应用。 随着 ΕΡΟΝ、 10 Gbit/s以太网等技术和标准的成熟， 以太网逐步向城域网和 广域网发展， 原来利用 802.1 Q VLAN ( Virtual Local Area Network , 虚拟局域 网）对终端用户进行隔离和标识受到很大限制， 因为 IEEE802.1Q 中定义的 vlan tag (虚拟局域网标签）域只有 12个比特， 仅能表示 4K个 vlan, 这对于 城域以太网中需要标识的大量终端用户捉襟见肘， 于是 QinQ 业务应运而生 ( QinQ 目前没有通用的中文技术术语） 。 QinQ业务是指将用户终端的私网 vlan tag (即终端自身的 vlan tag )封装在公网 vlan tag中， 使数据报文带着两 层 vlan tag穿越运营商的骨干网络 (即公网）。 在公网中数据报文只根据外层 vlan tag (即公网 vlan tag )传播， 终端自身的 vlan tag被屏蔽。相对基于 MPLS ( Multi Protocol Label Switch, 多协议标签交换 )的二层 VPN ( Virtual Private Networks, 虚拟专用网络） ， QinQ业务具有如下特点： 为终端提供了一种更 为简单的二层 VPN隧道；不需要信令协议的支持，可以通过纯静态配置实现。

QinQ业务最初主要是为拓展 vlan的数量空间而产生的， 它是在原有的 802.1Q数据报文的基础上又增加一层 802.1Q标签实现的， 使 vlan数量增加 到 4K*4K, 随着城域以太网的发展以及运营商精细化运作的要求， QinQ业务 的双层标签又有了进一步的使用场景， 城域网交换机有这样的需求， 下联的 EPON接入设备根据终端自身的 vlan tag所处范围段直接透传，或者根据终端 自身的 vlan tag所处范围段增加外层映射的 vlan tag,我们称这个外层 vlan tag 为 svlan tag (外层虚拟局域网标签） 。

EPON接入设备的构架一般由主控板（包含有主控交换芯片）与多块线 卡组成， 如果 EPON线卡处理能力比较强 （带来成本也比较高） ， 将直接实 现这一功能， 即线卡根据终端自身的 vlan tag所处范围段进行透传，或者增加 外层映射的 svlan tag, 主控交换芯片正常完成二层 vlan tag转发。

现有技术中， EPON接入设备根据终端自身的 vlan tag所处范围段对数据 报文进行透传或者增加外层映射的 svlan tag的基本原理是利用主控交换芯片 的流分类功能， 对符合一定流分类规则的数据报文直接修改 svlan tag, 简单 描述如下：

数据报文的上行传送方向， 对需要增加 svlan tag的终端， 主控交换芯片 将线卡设定的 insvlan tag ( EPON接入设备内部设定的外层虚拟局域网标签， 以下简称为内部标签）转换为上联交换机所需要的 svlan tag, 对需要透传的 终端，主控交换芯片将线卡设定的 insvlan tag剥离，保留终端自身的 vlan tag。 流分类的规则是根据终端自身的 vlan tag所处范围段， 将（ insvlan tag, 终端 自身的 vlan tag )转换为 （ svlan tag, 终端自身的 vlan tag ) , 对于需要透传的 终端， 主控交换芯片则直接去掉线卡设定的 insvlan tag, 实现终端自身的 vlan tag的透传。

数据报文的下行传送方向， 对上联交换机发送的带 svlan tag的下行数据 报文， EPON接入设备直接去掉 svlan tag ( svlan在下联端口的 vlan属性为非 标签 untag ) , 剩下终端自身的 vlan tag, 透传的下行数据报文仅有终端自身 的 vlan tag, 由于不知道要发送给哪个终端， 则 EPON接入设备将对下行数据 报文进行数据洪泛， 这样与 EPON接入设备相连的所有的 ONU ( Optical Network Unit,光网络单元）端口都可以接收到这种广播洪泛的下行数据报文， 下行业务受到冲击， 同时存在信息被窃听的安全隐患。 发明内容

本发明要解决的技术问题是提供一种防止以太无源光网络中下行数据洪 泛的方法， 使得 EPON接入设备在发送下行数据报文时不再向所有的 ONU 端口进行广播洪泛， 同时消除了信息被窃听的安全隐患。

为了解决上述问题， 本发明提供了一种防止以太无源光网络中下行数据 洪泛的方法， 包括： 以太无源光网络的接入设备上保存有光网络单元 ONU端口下连接的终 端的虚拟局域网标签 vlan tag;

终端在首次发送上行数据报文时， 所述接入设备至少记录所述终端的介 质访问控制 MAC地址、所述终端所在光网络单元 ONU对应的交换网端口与 所述 vlan tag的对应关系；

所述接入设备发送下行数据报文时， 根据下行数据报文的目的终端的 MAC地址和 vlan tag查找目的终端所在的 ONU对应的交换网端口， 将所述 下行数据报文发送给所述目的终端。

进一步地，如果发送上行数据报文的终端是 QinQ业务终端，则所述接入 设备还记录该终端的外层虚拟局域网标签 svlan tag; 当所述接入设备发送下 行数据报文时，如果所述下行数据报文的目的终端为 QinQ业务终端，则所述 接入设备根据所述目的终端的 MAC地址和 svlan tag查找目的终端所在的 ONU对应的交换网端口， 将所述下行数据报文发送给所述目的终端。

进一步地， 每个 ONU端口对应一个内部的外层虚拟局域网标签 insvlan tag, 所述接入设备上保存有 insvlan tag与 vlan tag的对应关系， 对于 QinQ业 务终端， 所述接入设备上还保存有 insvlan tag, vlan tag与 svlan tag的对应关 系；所述接入设备在发送下行数据报文时根据 insvlan tag和 vlan tag查找 svlan tag, 如果找到则认为该下行数据报文的目的终端为 QinQ业务终端。

进一步地， 所述接入设备中的主控交换芯片用于保存各种对应关系， 以 及查找目的终端所在的 ONU对应的交换网端口。

为了解决上述技术问题本发明提供了一种防止以太无源光网络中下行数 据洪泛的方法， 包括：

在终端发送上行数据报文时， 以太无源光网络 EPON接入设备对所述上 行数据报文进行解析， 获取所述终端的介质访问控制 MAC地址， 判断所述 MAC地址是否为新地址；

若所述 MAC地址为新地址，则 EPON接入设备将终端所在 ONU端口对 应的内部设定的外层虚拟局域网标签 insvlan tag与终端的 MAC地址相结合作 为标识项 A, 将所述上行数据报文的外层虚拟局域网标签 svlan tag或者终端 自身的 vlan tag与终端的 MAC地址相结合作为标识项 B,分别建立标识项 A、 标识项 B与终端所在 ONU端口的对应关系， 同时还建立所述标识项 A和标 识项 B的关联关系；

EPON接入设备在发送下行数据报文时， 从所述下行数据报文中获取标 识项 B的信息 ,根据所述标识项 B与终端所在 ONU端口的对应关系确定 ONU 端口， 然后将所述下行数据报文通过该 ONU端口发送给目的终端。

进一步地， 当终端为需要透传的终端时， 其对应的标识项 B为： 终端自 身的 vlan tag与终端的 MAC地址的结合；当终端为需要增加外层标签的终端 时， 其对应的标识项 B为： svlan tag与终端的 MAC地址的结合。

进一步地， 上行数据报文的发送过程包括如下步骤：

( a ) EPON接入设备进行 QinQ业务配置， 包括： 为 QinQ业务终端所在 ONU端口配置 EPON接入设备内部设定的外层虚拟局域网标签 insvlan tag, 配置全局模式下的 QinQ业务映射关系表， 以及配置 EPON接入设备上联端 口的标签属性；

( b )终端发送上行数据报文到 EPON接入设备， 所述上行数据报文增加 insvlan tag后被送到 EPON接入设备的主控交换芯片；

( c )主控交换芯片对带有 insvlan tag的上行数据报文进行解析， 获取终 端的 MAC地址， 并进一步判断是否为新 MAC地址， 若是则分别建立所述标 识项 A、 标识项 B与终端所在 ONU端口的对应关系 , 同时还建立所述标识 项 A和标识项 B的关联关系， 否则直接进行下一步；

( d )主控交换芯片查找全局模式下的 QinQ业务映射关系表， 如果查找 到对应的 svlan tag,则用 svlan tag替换 insvlan tag后将上行数据报文发送到上 联端口， 如果没有查找到， 则直接将带有 insvlan tag的上行数据报文发送到 上联端口；

( e ) EPON接入设备的上联端口根据配置的标签属性， 将带有 svlan tag 和 vlan tag双层标签的上行数据报文进行双层标签发送，对带有 insvlan tag和 vlan tag双层标签的上行数据报文去掉 insvlan tag后进行单层标签透传。 进一步地， 步骤（a ) 中， 所述 QinQ业务映射关系表的内容为根据终端 自身的 vlan tag所处的范围段建立的 insvlan tag和终端自身的 vlan tag相结合 的关联项与 svlan tag的对应关系。

进一步地， 下行数据报文的发送过程包括如下步骤：

( f ) EPON接入设备的上联交换机将下行数据报文发送到 EPON接入设 备， EPON接入设备从所述下行数据报文中获取所述标识项 B的信息， 并根 据所述标识项 B和终端所在 ONU端口的对应关系确定 ONU端口 ,然后将所 述下行数据报文通过所述 ONU端口发送给目的终端。

进一步地，终端的 MAC地址老化后， EPON接入设备的主控交换芯片将 保存的所述标识项 A和终端所在 ONU端口的对应关系删除， 然后根据所述 标识项 A和标识项 B的关联关系自动删除标识项 B和终端所在 ONU端口的 对应关系。

由上可见， 本发明方法中， EPON接入设备在终端首次发送上行数据报 文时获取终端的 MAC地址， 以及终端所在 ONU对应的交换网端口， 并根据 终端所处范围段记录该终端的标签， 建立 MAC地址、 交换网端口与终端标 签的对应关系； EPON接入设备在发送下行数据报文时， 根据终端的标签以 及该终端的 MAC地址查找所述终端所在的 ONU对应的交换网端口，将下行 数据报文发送给该终端。 从而避免了下行数据报文在 EPON接入设备所有 ONU端口的广播洪泛， 消除了信息被窃听的安全隐患。 附图概述

图 1是 EPON接入设备组网示意图；

图 2是本发明中数据报文的上行和下行发送过程流程图。 本发明的较佳实施方式

在终端首次发送上行数据报文时， 以太无源光网络 EPON接入设备获取 所述终端的 MAC ( Media Access Control, 介质访问控制）地址， 以及终端所 在 ONU对应的交换网端口 （或称 ONU所在的以太网端口） , 并根据终端所 处范围段记录该终端的标签（svlan tag或者 vlan tag ) , 至少建立 MAC地址、 交换网端口与终端标签的对应关系； EPON接入设备在发送下行数据报文时， 根据终端的标签以及该终端的 MAC地址查找终端所在的 ONU对应的交换网 端口， 将下行数据报文发送给该终端。

具体地， 可以如下实现： 在终端发送上行数据 文时， 以太无源光网络 EPON接入设备对所述上行数据报文进行解析， 获取所述终端的 MAC地址 , 判断所述 MAC地址是否为新地址； 若所述 MAC地址为新地址， 则 EPON接 入设备将终端所在 ONU端口对应的内部设定的外层虚拟局域网标签 insvlan tag与终端的 MAC地址相结合作为标识项 A,将所述上行数据报文的外层虚 拟局域网标签 svlan tag或者终端自身的 vlan tag与终端的 MAC地址相结合作 为标识项 B( svlan tag与 vlan tag其中的一个与 MAC地址结合作为标识项 B ), 对透传终端即不增加外层 vlan的终端，是终端自身的 vlan tag与 MAC地址相 结合作为标识项 B; 对 QinQ业务终端， 则是用 QinQ外层 tag即 Svlan tag与 MAC地址相结合作为标识项 B。 分别建立标识项 A、 标识项 B与终端所在 ONU对应的交换网端口的对应关系， 同时还建立所述标识项 A和标识项 B 的关联关系， 即分别建立标识项 A、 标识项 B与终端所在 ONU对应交换网 端口的对应关系； EPON接入设备在发送下行数据报文时， 从所述下行数据 报文中获取标识项 B的信息， 根据所述标识项 B确定终端所在 ONU对应交 换网端口，然后将所述下行数据报文通过该 ONU对应的交换网端口发送给目 的终端。 这样就避免了 EPON接入设备将下行数据报文向所有 ONU端口广 播洪泛的问题。

上述标识项 A和标识项 B作为检索项使用， 釆用标识项 A和标识项 B 的描述仅是为了描述方便。

本文所述的终端可以是指家庭网关或者交换机等家庭终端设备。

下面结合附图和实施例对本发明的方法做进一步详细说明。

如图 2所示， 本发明中数据报文的上行和下行发送过程包括如下步骤： 第一步， EPON接入设备进行 QinQ业务配置， 包括： 为 QinQ业务终端 所在的 ONU端口配置 insvlan tag, 配置全局模式下的 QinQ业务映射关系表， 以及配置 EPON接入设备的上联端口的标签属性；

每一个 0NU端口可以对应唯一的 insvlan tag , 也可以多个 0NU端口对 应同一个 insvlan tag。

所述 QinQ业务映射关系表的内容为根据终端自身的 vlan tag所处的范围 段建立（ insvlan tag, 终端自身的 vlan tag )与 svlan tag的对应关系 , 即根据终 端自身的 vlan tag和标识 ONU的 insvlan tag组合来建立与 svlan tag的对应关 系， 该对应关系只有需要增加外层标签的终端才有， 透传的终端无此对应关 系， 建立此关系后， 接入设备根据 insvlan tag和终端自身的 vlan tag就可以查 找到 svlan tag。

所述 EPON接入设备的上联端口的标签属性包括标签 tag和非标签 untag， 此处将 svlan tag以及终端自身的 vlan tag的属性设置为标签 tag, insvlan tag 的属性设置为非标签 imtag。 此处 insvlan tag设置为 untag标签是为了实现透 传业务。

第二步， ONU端口的终端发送上行数据报文到 EPON接入设备， EPON 接入设备的线卡为所述上行数据报文增加 insvlan tag(对透传或者需要增加外 层标签的终端都釆用相同的处理）后送往 EPON接入设备的主控交换芯片； 这里釆用的是由 EPON接入设备的线卡为上行数据报文增加 insvlan tag 的方式，在其它实施例中也可以采用由 ONU端口为上行数据 4艮文增加 insvlan tag的方式。 增力口 insvlan tag后, 上行数据^ =艮文尤带有 insvlan tag和 vlan tag 双层标签了。

第三步， 主控交换芯片收到带 insvlan tag的上行数据报文后， 对该上行 数据报文进行解析， 获取终端的 MAC地址， 并判断是否为新 MAC地址， 若 是则 EPON接入设备将终端所在 ONU端口对应的内部设定的外层虚拟局域 网标签 insvlan tag与终端的 MAC地址相结合作为标识项 A , 将所述上行数 据报文的外层虚拟局域网标签 svlan tag或者终端自身的 vlan tag与终端的 MAC地址相结合作为标识项 B, 分别建立标识项 A、 标识项 B与终端所在 ONU端口的对应关系， 同时还建立所述标识项 A和标识项 B的关联关系， 否则直接进行第四步； 终端发送的报文中携带有 MAC地址， 如果在主控交换芯片中没有查找 到该 MAC的记录， 则认为该 MAC地址为新的 MAC地址， 主控交换芯片学 习这个 MAC地址后， 该终端再发送过来报文所携带的源 MAC就不再是新 MAC地址了。

建立所述关系时，主控交换芯片首先查找全局模式下的 QinQ业务映射关 系表， 即查找（ insvlan tag,终端自身的 vlan tag )对应的 svlan tag,根据 insvlan tag和 vlan tag查找对应的 svlan tag,如果没有查到对应的 svlan tag,说明该终 端是透传的终端， 则分别建立 insvlan tag, MAC地址、 vlan tag与终端所在 ONU对应的交换网端口的对应关系； 如果查找到对应的 svlan tag, 说明该终 端为需要增加外层标签的终端，则分别建立 insvlan tag、 MAC地址、 svlan tag 与终端所在 ONU对应的交换网端口的对应关系。

第四步，主控交换芯片查找全局模式下的 QinQ业务映射关系表，如果查 找到对应的 svlan tag,则用 svlan tag替换原来的 insvlan tag后将上行数据才艮文 发送到上联端口， 如果没有查找到对应的 svlan tag, 则直接将原上行数据报 文（即带有 insvlan tag和 vlan tag双层标签的上行数据报文 )发送到上联端口； 本步骤中的查找及转发功能由主控交换芯片的快速流分类模块实现。 第五步， EPON接入设备上联端口根据配置的标签属性，将带有 svlan tag insvlan tag和 vlan tag双层标签的上行数据报文去掉 insvlan tag后进行单层标 签透传；

第六步， EPON接入设备的上联交换机将带有双层虚拟局域网标签 svlan tag和 vlan tag或者仅带单层虚拟局域网标签 vlan tag的下行数据报文发送到 EPON接入设备， EPON接入设备从所述下行数据 4艮文中获取所述标识项 B 的信息即 vlan tag和 MAC,或者 svlan tag和 MAC地址，并根据所述标识项 B 确定终端所在 ONU对应的交换网端口， 然后将所述下行数据"¾文通过所述 ONU对应的交换网端口发送给目的终端；

这样 ONU端口的终端仅仅收到需要发送给自己的数据报文，避免了下行 数据报文的洪泛。 第七步，终端的 MAC地址老化后， EPON接入设备的主控交换芯片老化 其保存的标识项 A、 标识项 B与终端所在 ONU对应的交换网端口的对应关 系以及标识项 A和标识项 B的关联关系， 即将所述关系删除。

MAC地址老化是指终端暂时不再进行数据报文的传递了，因此主控交换 芯片不需要再保存所述关联关系了， 如果过一段时间后终端又进行数据报文 的传输了， 则 EPON接入设备按照前述步骤再次建立所述关系并保存。

老化时， EPON接入设备先老化标识项 A与终端所在 ONU对应的交换 网端口的对应关系， 再才艮据标识项 A和标识项 B的关联关系自动老化标识项 B与终端所在 ONU对应的交换网端口的对应关系。

下面再以一应用实例对本发明的方法#文进一步详细说明。

如图 1所示， EPON接入设备通过上联交换机与城域网相连， 下联通过 ODN ( Optical Distribution Network,光分配网络）连接多个 ONU端口； EPON 接入设备由 EPON线卡、上联板、主控板、电源板以及风扇板组成，其中 EPON 线卡可以有多块， 主控交换芯片在主控板上。

从 ONU1端口的终端， 假设根据 vlan tag所处范围分为以下四类： vlan tag在 200 ~ 1000 之间表示该终端用户的业务为 IPTV ( Internet Protocol Television, 交互式网络电视）， 需要将带有 vlan tag的上行数据报文 直接透传到上层交换机；

vlan tag为 60表示该终端是 ONU1下面设备的网络管理 vlan, 也需要将 带有 vlan tag的上行数据报文透传到上层交换机；

vlan tag在 1024 ~ 2047 之间表示该终端用户为 PPPOE ( Point-to-Point Protocol Over Ethernet, 以太网上的点对点协议）用户， 其上行的数据 4艮文需 要增加 svlan tag为 1024的外层虚拟局域网标签后再发送到上层交换机；

vlan tag在 2048 ~ 3071之间表示该终端用户为专线用户， 其上行的数据 报文需要增加 svlan tag为 2048的外层虚拟局域网标签后再发送到上层交换 机。

在这种需求下， 需要管理员进行以下配置： 首先在 EPON接入设备线卡的端口下配置 ONU1端口所携带的内部设定 的外层标签 insvlan tag为 4001；

然后配置全局模式下的 QinQ业务映射关系表：

insvlan tag为 4001并且 vlan tag范围在（ 1024 ~ 2047 ) 内的终端对应的 svlan tag为 1024;

insvlan tag为 4001并且 vlan tag范围在（ 2048 ~ 3071 ) 内的终端对应的 svlan tag为 2048;

最后在 EPON接入设备上联端口配置标签 1024、 2048 以及 60、 200 ~ 1000 为 tag类型， 4001为 untag类型。

下面分别以透传终端 vlan tag ( 60 )和需要增加外层标签的终端 vlan tag

( 1024 )为例加以说明， 假定它们的 MAC地址分别为 MAC 1以及 MAC2。

透传终端 vlan tag ( 60 ) 的上行数据报文方向：

ONU1上的终端 vlan tag ( 60 )将上行数据报文发送到 EPON接入设备的 线卡 3后， 线卡 3为所述上行数据报文增加 insvlan tag ( 4001 ) , 这样该终端 的上行数据报文变为双层标签（4001 , 60 ) , 然后线卡 3将其送至主控交换 芯片的下联端口 1 ; 主控交换芯片收到带双层标签（4001 , 60 ) 的上行数据报文后， 判断终 端的 MAC地址， 发现是一个新地址， 则分别建立 （4001 , MAC1 ) 、 ( 60, MAC1 )和端口 ONU1的对应关系， 同时建立（ 4001 , MAC1 )和（ 60, MAC1 ) 的关联关系， 主控交换芯片的下联端口 1再次收到终端 vlan tag ( 60 )的上行 数据报文时就不再建立上述关系了；

主控交换芯片查找全局模式下的 QinQ 业务映射关系表， 没有查找到 ( 4001 , 60 )到对应的 svlan tag, 则直接将带有 （4001 , 60 )双层标签的上 行数据报文发送到上联端口；

EPON接入设备的上联端口根据端口标签配置属性， 获知 4001为 untag 属性， 因此上联端口剥掉 4001 , 将只有单标签 vlan tag ( 60 )的上行数据报文 发送给上联交换机，这样就实现了终端 vlan tag ( 60 )的上行数据报文的透传； 透传终端 vlan tag ( 60 ) 的下行数据报文方向：

上联交换机将带有单层标签 vlan tag ( 60 ) 的下行数据报文发送到 EPON 接入设备的上联端口， 主控交换芯片从该下行数据报文中获取（60, MAC1 ) 信息， 并根据其保存的 （60, MAC1 )和端口 ONU1 的关联关系获知目的终 端 MAC1所在的 ONU端口为 ONU1 , 因此将所述下行数据报文通过 ONU1 端口发送给地址为 MAC1的终端；

当用户 vlan tag ( 60 ) 下线后， 主控交换芯片老化（4001 , MAC1 )和端 口 ONU1 的对应关系， 然后根据（4001 , MAC1 )和（60, MAC1 ) 的关联 关系自动老化（60, MAC1 )和端口 ONU1的对应关系， 即删除所述关系。

需要增加外层标签的终端 vlan tag ( 1024 ) 的上行数据报文方向：

ONU1上的终端 vlan tag ( 1024 )将上行数据报文发送到 EPON接入设备 的线卡 3后， 线卡 3为所述上行数据报文增加 insvlan tag ( 4001 ) , 这样该终 端的上行数据报文就带有双层标签（4001 , 1024 ) 了， 然后线卡 3将其送至 主控交换芯片对应的下联端口 1 ;

主控交换芯片收到带双层标签（4001 , 1024 ) 的上行数据报文后， 判断 终端的 MAC地址，发现是一个新地址，则分别建立（ 4001 , MAC2 )、 ( 1024, MAC2 )和端口 ONU1 的对应关系， 同时建立 （4001 , MAC2 )和（ 1024, MAC2 )的关联关系，主控交换芯片的下联端口 1再次收到终端 vlan tag( 1024 ) 的上行数据报文时就不再建立上述关系了；

主控交换芯片查找全局模式下的 QinQ业务映射关系表， 查找到 （4001 , 1024 )到对应的 svlan tag为 1024,则用 svlan tag( 1024 )替换 insvlan tag( 4001 ), 将带有 （ 1024, 1024 )双层标签的上行数据报文转发到上联端口；

上联端口根据端口标签配置属性， 获知 1024为 tag属性， 因此上联端口 保留 1024, 将带有（ 1024, 1024 )双层标签的上行数据报文发送给上联交换 机， 这样就实现了终端 vlan tag ( 1024 ) 的上行数据报文的双层标签传送；

需要增加外层标签的终端 vlan tag ( 1024 ) 的下行数据报文方向： 上联交换机将带有双层标签（ 1024, 1024 )的下行数据报文发送到 EPON 接入设备的上联端口，主控交换芯片从该下行数据报文中获取（ 1024, MAC2 ) 信息， 并根据其保存的 （ 1024, MAC2 )和端口 ONU1 的关联关系获知目的 终端 MAC2所在的 ONU端口为 ONU1 ,因此将所述下行数据报文通过 ONU1 端口发送给地址为 MAC2的终端；

当用户 vlan tag ( 1024 ) 下线后， 主控交换芯片老化（4001 , MAC2 )和 端口 ONU1 的关联关系， 然后根据（4001 , MAC2 )和（ 1024, MAC2 ) 的 关联关系自动老化（ 1024, MAC2 )和端口 ONU1 的关联关系， 即删除所述 关系。

这样就避免了下行数据报文的广播洪泛， 消除了信息泄露的安全隐患。

除了以太无源光网络接入领域，本发明所述方法也可应用于 DSL ( Digital Subscriber Loop, 数字用户环路）接入领域。

当然， 本发明还可有其他多种实施例， 在不背离本发明精神及其实质的 但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。 工业实用性

釆用本发明方法， 避免了下行数据报文在 EPON接入设备所有 ONU端 口的广播洪泛， 消除了信息被窃听的安全隐患。

Claims

权 利 要 求 书

以太无源光网络的接入设备上保存有光网络单元 ONU端口下连接的终 端的虚拟局域网标签 vlan tag;

终端在首次发送上行数据报文时， 所述接入设备至少记录所述终端的介 质访问控制 MAC地址、所述终端所在光网络单元 ONU对应的交换网端口与 所述 vlan tag的对应关系；

所述接入设备发送下行数据报文时， 根据下行数据报文的目的终端的 MAC地址和 vlan tag查找目的终端所在的 ONU对应的交换网端口， 将所述 下行数据报文发送给所述目的终端。

2、 如权利要求 1所述的方法， 其特征在于，

如果发送上行数据报文的终端是 QinQ业务终端，则所述接入设备还记录 该终端的外层虚拟局域网标签 svlan tag;

当所述接入设备发送下行数据报文时， 如果所述下行数据报文的目的终 端为 QinQ业务终端，则所述接入设备根据所述目的终端的 MAC地址和 svlan tag查找目的终端所在的 ONU对应的交换网端口， 将所述下行数据报文发送 给所述目的终端。

3、 如权利要求 2所述的方法， 其特征在于，

每个 ONU端口对应一个内部的外层虚拟局域网标签 insvlan tag, 所述接 入设备上保存有 insvlan tag与 vlan tag的对应关系， 对于 QinQ业务终端， 所 述接人设备上还保存有 insvlan tag. vlan tag与 svlan tag的对应关系；

所述接入设备在发送下行数据 4艮文时才艮据 insvlan tag和 vlan tag查找 svlan tag, 如果找到则认为该下行数据报文的目的终端为 QinQ业务终端。

4、 如权利要求 1或 2或 3所述的方法， 其特征在于，

所述接入设备中的主控交换芯片用于保存各种对应关系， 以及查找目的 终端所在的 ONU对应的交换网端口。 在终端发送上行数据报文时， 以太无源光网络 EPON接入设备对所述上 行数据报文进行解析， 获取所述终端的介质访问控制 MAC地址， 判断所述 MAC地址是否为新地址；

若所述 MAC地址为新地址，则 EPON接入设备将终端所在 ONU端口对 应的内部设定的外层虚拟局域网标签 insvlan tag与终端的 MAC地址相结合作 为标识项 A, 将所述上行数据报文的外层虚拟局域网标签 svlan tag或者终端 自身的 vlan tag与终端的 MAC地址相结合作为标识项 B,分别建立标识项 A、 标识项 B与终端所在 ONU端口的对应关系， 同时还建立所述标识项 A和标 识项 B的关联关系；

EPON接入设备在发送下行数据报文时， 从所述下行数据报文中获取标 识项 B的信息 ,根据所述标识项 B与终端所在 ONU端口的对应关系确定 ONU 端口， 然后将所述下行数据报文通过该 ONU端口发送给目的终端。

6、 如权利要求 5所述的方法， 其特征在于：

当终端为需要透传的终端时， 其对应的标识项 B为： 终端自身的 vlan tag 与终端的 MAC地址的结合；

当终端为需要增加外层标签的终端时， 其对应的标识项 B为： svlan tag 与终端的 MAC地址的结合。

7、 如权利要求 5所述的方法，其特征在于，上行数据报文的发送过程包 括如下步骤：

( a ) EPON接入设备进行 QinQ业务配置， 包括： 为 QinQ业务终端所在 ONU端口配置 EPON接入设备内部设定的外层虚拟局域网标签 insvlan tag, 配置全局模式下的 QinQ业务映射关系表， 以及配置 EPON接入设备上联端 口的标签属性；

( b )终端发送上行数据报文到 EPON接入设备， 所述上行数据报文增加 insvlan tag后被送到 EPON接入设备的主控交换芯片；

( c )主控交换芯片对带有 insvlan tag的上行数据报文进行解析， 获取终 端的 MAC地址 , 并进一步判断是否为新 MAC地址 , 若是则分别建立所述标 识项 A、 标识项 B与终端所在 ONU端口的对应关系 , 同时还建立所述标识 项 A和标识项 B的关联关系， 否则直接进行下一步；

( d )主控交换芯片查找全局模式下的 QinQ业务映射关系表， 如果查找 到对应的 svlan tag ,则用 svlan tag替换 insvlan tag后将上行数据报文发送到上 联端口， 如果没有查找到， 则直接将带有 insvlan tag的上行数据报文发送到 上联端口；

( e ) EPON接入设备的上联端口根据配置的标签属性， 将带有 svlan tag 和 vlan tag双层标签的上行数据报文进行双层标签发送，对带有 insvlan tag和 vlan tag双层标签的上行数据报文去掉 insvlan tag后进行单层标签透传。

8、 如权利要求 7所述的方法， 其特征在于：

步骤（ a )中，所述 QinQ业务映射关系表的内容为根据终端自身的 vlan tag 所处的范围段建立的 insvlan tag和终端自身的 vlan tag相结合的关联项与 svlan tag的对应关系。

9、 如权利要求 7所述的方法，其特征在于， 下行数据报文的发送过程包 括如下步骤：

( f ) EPON接入设备的上联交换机将下行数据报文发送到 EPON接入设 备， EPON接入设备从所述下行数据报文中获取所述标识项 B的信息， 并根 据所述标识项 B和终端所在 ONU端口的对应关系确定 ONU端口 ,然后将所 述下行数据报文通过所述 ONU端口发送给目的终端。

10、 如权利要求 5所述的方法， 其特征在于， 还包括：

终端的 MAC地址老化后 , EPON接入设备的主控交换芯片将保存的所述 标识项 A和终端所在 ONU端口的对应关系删除， 然后 4艮据所述标识项 A和 标识项 B的关联关系自动删除标识项 B和终端所在 ONU端口的对应关系。