WO2019024844A1

WO2019024844A1 - Bras转控分离架构下的用户认证

Info

Publication number: WO2019024844A1
Application number: PCT/CN2018/097777
Authority: WO
Inventors: 孟丹
Original assignee: 新华三技术有限公司
Priority date: 2017-08-03
Filing date: 2018-07-31
Publication date: 2019-02-07
Also published as: JP6920537B2; JP2020529085A; EP3664403A4; CN108462683A; CN108462683B; EP3664403A1; EP3664403B1

Abstract

本申请提供了BRAS转控分离架构下对用户进行认证的方法和装置。根据所述方法的一个示例，通过VXLAN ID隐性标识了BRAS DP设备上的用户接入端口的信息，以使得BRAS CP设备能够将用户接入端口的信息与认证报文携带的用户身份信息一起发送至认证服务器进行认证。这样，由于用户接入端口的信息也参与到用户的认证中，实现了用户的访问限制。

Description

BRAS转控分离架构下的用户认证

相关申请的交叉引用

本专利申请要求于2017年8月3日提交的、申请号为201710655491.7、发明名称为“认证方法和装置”的中国专利申请的优先权，该申请的全文以引用的方式并入本文中。

背景技术

本申请涉及宽带远程接入服务器(BRAS：Broadband Remote Access Server)在转发功能与控制功能相互分离的架构下的认证。

按照“控制聚集、转发高效、交互简单，弹性可扩”的原则，将BRAS的转发功能和控制功能相互分离(以下又可简称为“转控分离”)，以实现资源利用率高、可动态伸缩、接口标准化的新型城域网。

在BRAS转控分离的架构中主要包含BRAS控制平面(CP：Control Plane)设备和BRAS数据平面(DP：Data Plane)设备。其中，BRAS CP设备主要负责控制功能的处理，比如，用户会话管理、控制报文处理、与外部业务系统比如认证服务器交互、地址池管理及分配等。BRAS DP设备主要负责转发功能的处理，比如，区分控制报文与数据报文、将控制报文上送BRAS CP设备、可扩展虚拟局域网(VXLAN：Virtual eXtensible LAN)加解封装、数据报文转发、基于用户的服务质量(QoS：Quality of Service)策略处理等。

附图说明

图1为示出了BRAS转控分离架构的示意图。

图2为增加私有头以携带用户接入端口的端口信息的控制报文的结构示意图。

图3为本申请提供的在BRAS DP设备侧进行用户认证的方法的示意性流程图。

图3A为图3所示方法中步骤302的示意性流程图。

图3B为BRAS DP设备创建VXLAN隧道和VSI的示意性流程图。

图4为本申请提供的在BRAS CP设备侧进行用户认证的方法的示意性流程图。

图4A为BRAS CP设备创建VXLAN隧道和VSI的示意性流程图。

图5为本申请提供的实施例示意图。

图6为本申请提供的装置结构示意图。

图7为本申请提供的图6所示装置的硬件结构示意图。

图8为本申请提供的另一装置结构示意图。

具体实施方式

图1简单示出了BRAS转控分离架构的示意图。在具体应用时，BRAS转控分离架构中可有多个BRAS DP设备和多个BRAS CP设备。图1仅简单以一个BRAS DP设备110和一个BRAS CP设备120为例，示意介绍BRAS DP设备110和BRAS CP设备120如何交互完成用户认证。

如图1所示，BRAS DP设备110接收来自用户设备的认证请求报文，若识别出该认证请求报文为控制报文，则上送该认证请求报文至对应的BRAS CP设备120。认证请求报文携带用户身份相关信息，比如用户名、密码。

BRAS CP设备120将认证请求报文携带的用户身份相关信息，比如用户名和密码，发送给认证服务器200。认证服务器200将接收到的用户身份相关信息和本地预先配置的所述用户设备的用户身份相关信息相对照，如果符合就认为认证通过。相应地，认证服务器200返回用于指示认证通过的控制响应报文给BRAS CP设备120，BRAS CP设备120返回控制响应报文给BRAS DP设备110，最终控制响应报文由BRAS DP设备110转发给用户设备。当认证通过后，BRAS CP设备120下发用户流表给BRAS DP设备110。后续用户设备发送的数据报文由BRAS DP设备110依据接收到的用户流表进行转发，不再经由BRAS CP设备120。

在用户认证过程中，除了对用户身份相关信息进行认证外，还经常会对BRAS DP设备上用于接入用户设备的端口(以下可简称为“用户接入端口”)的端口信息进行认证，以实现只有从BRAS DP设备上指定端口接入的指定用户才允许上线(以下也可称为“用户的接入限制”)，从而避免用户在非登记位置接入网络。但是，在图1所示的BRAS转控分离架构中，BRAS CP设备120负责和认证服务器200交互，而上述用户接入端口的端口信息位于BRAS DP设备110上，并不在BRAS CP设备120中，也不会携带在用户设备发送的认证请求报文中，这就导致BRAS CP设备120不能获取到上述用户接入端口的端口信息，从而无法做到用户的接入限制。

为了实现用户的接入限制，作为一个实施例，可在BRAS DP设备上送至BRAS CP设备的控制报文中增加一个私有头，图2举例示出控制报文增加私有头的结构。该私有头携带上述用户接入端口的端口信息。如此，BRAS CP设备可将收到的控制报文的私有头携带的用户接入端口的端口信息也发送给认证服务器进行认证，以实现用户的接入限制。

但是，采用私有头并不标准，并且当BRAS DP设备采用交换芯片作为转发关键器件时，由于无法用硬件自动完成私有头增删，只能采用CPU处理，将极大影响处理效率，从而可能导致用户上线速度明显下降。

作为本申请另一实施例，本申请还提供了实现用户接入限制的另外一种方法。

参见图3，图3为本申请提供的方法流程图。该流程应用于BRAS DP设备，包括：

步骤301，BRAS DP设备通过本地用户接入端口接收用户设备发送的用于对用户进行认证的控制报文。

在本申请中，BRAS DP设备通过本地用户接入端口接收到来自用户设备的报文时，基于该报文中的报文类型字段确定该报文为控制报文还是数据报文。当确定该报文为控制报文时，则意味着该报文用于对用户进行认证，执行步骤302。而当确定该报文为数据报文时，则可按照本领域技术人员熟知的数据报文转发流程执行，本申请并不具体限定。

步骤302，BRAS DP设备确定用户接入端口对应的VXLAN标识ID。

步骤303，BRAS DP设备按照所述VXLAN ID、以及所述VXLAN ID绑定的本BRAS DP设备与BRAS CP设备之间的VXLAN隧道对所述控制报文进行VXLAN封装。其中，所述VXLAN封装中携带所述VXLAN ID。

步骤304，BRAS DP设备通过所述VXLAN隧道将VXLAN封装的所述控制报文发送至所述BRAS CP设备。

作为一个实施例，如图3A所示，BRAS DP设备确定用户接入端口对应的VXLAN ID可包括下述步骤302a1和步骤302a2：

步骤302a1，BRAS DP设备确定与所述用户接入端口绑定的虚接口(VSI：Virtual Switch Interface)。

在本申请中，与用户接入端口绑定的VSI是BRAS DP设备动态创建的，一个VSI唯一对应一个VXLAN ID。

步骤302a2，BRAS DP设备将所述VSI对应的VXLAN ID确定为所述用户接入端口对应的VXLAN ID。

至此，通过步骤302a1和步骤302a2即可确定用户接入端口对应的VXLAN ID。

作为一个实施例，在执行图3所示流程之前，还可如图3B所示包括以下步骤：

步骤300b1，BRAS DP设备接收用户控制管理(UCM：User Control Management)网元在接收到配置所述用户接入端口使能BRAS业务的命令时下发的VXLAN隧道配置和第一VSI创建指令。其中，所述第一VSI创建指令用于指示所述BRAS DP设备创建与所述用户接入端口绑定的且与所述VXLAN ID对应的VSI。

步骤300b2，BRAS DP设备根据所述VXLAN隧道配置创建所述VXLAN隧道。

步骤300b3，BRAS DP设备根据所述第一VSI创建指令创建所述VSI。

通过步骤300b1至步骤300b3即实现了上述VSI、VXLAN隧道的建立。尽管图3B示出在步骤300b1将VXLAN隧道配置与第一VSI创建指令一起发送，但本领域技术人员应能理解，也可以将VXLAN隧道配置与第一VSI创建指令分开发送，例如先发送VXLAN隧道配置、再发送第一VSI创建指令，或者先发送第一VSI创建指令、再发送VXLAN隧道配置。

在本申请实施例应用中，一个VXLAN隧道可同时绑定多个不同的VXLAN ID，而一个VXLAN ID唯一绑定一个VXLAN隧道。假如上述VXLAN ID绑定的VXLAN隧道同时绑定多个VXLAN ID，则在上述步骤303中按照VXLAN ID、以及所述VXLAN ID绑定的VXLAN隧道对所述控制报文进行VXLAN封装时，VXLAN封装中的VNI字段携带所述VXLAN ID，VXLAN封装中的隧道源地址为BRAS DP设备的IP地址，隧道目的地址为BRAS CP设备的IP地址。

其中，UCM网元用于配置和管理BRAS转控分离架构中的BRAS CP设备、BRAS DP设备。比如，UCM网元在统一的用户界面(UI：User Interface)配置和管理BRAS转控分离架构中的BRAS CP设备、BRAS DP设备，图5所示的组网举例示出了UCM网元、BRAS CP设备、BRAS DP设备的连接结构。

至此，完成图3所示流程。

在本申请一个示例中，BRAS DP设备还可进一步向UCM网元上报上述用户接入端口的端口信息，以使所述UCM网元向所述BRAS CP设备发送与所述VXLAN ID对应的所述用户接入端口的端口信息。所述用户接入端口的端口信息包括：所述用户接入端口所在的子槽位号、所述子槽位号所属的槽位号、端口号、端口类型。下文会描述BRAS CP设备如何获取并将该用户接入端口的端口信息发送给认证服务器进行认证。

当BRAS DP设备通过VXLAN隧道转发VXLAN封装的控制报文后，与该BRAS DP设备建立了所述VXLAN隧道的BRAS CP设备会通过所述VXLAN隧道收到该VXLAN封装的控制报文，并执行图4所示流程。

参见图4，图4为本申请提供的另一方法流程图，该流程应用于BRAS CP设备。如图4所示，该流程可包括以下步骤：

步骤401，BRAS CP设备通过与BRAS DP设备之间的VXLAN隧道接收VXLAN封装的控制报文。

步骤402，BRAS CP设备判断所述控制报文是否为用于对用户进行认证的报文。若检查出所述控制报文为用于对用户进行认证的报文，则继续执行步骤403。

作为一个实施例，可依据报文属性字段检查控制报文是否为用于对用户进行认证的报文。

步骤403，BRAS CP设备在本地查找所述VXLAN封装中VXLAN ID对应的在所述BRAS DP设备上的用户接入端口的端口信息。

步骤404，BRAS CP设备将所述用户接入端口的端口信息和所述控制报文携带的用户身份信息发送给认证服务器进行认证。

这里的端口信息，即为上面描述的BRAS DP设备上报的BRAS DP设备上用于接入上述用户设备的端口的端口信息，是由UCM网元动态配置在BRAS CP设备的。作为一个实施例，上述端口信息可按照指定格式组合成字符串，简称认证字符串。这里的指定格式是便于认证服务器识别的格式。以端口信息包括：指定端口所在的子槽位号、所述子槽位号所属的槽位号、端口号、端口类型为例，则端口信息按照指定格式组合成的认证字符串可举例为：

用户接入端口所在的子槽位号/子槽位号所属的槽位号/用户接入端口的端口号/端口类型。

其中，字符“/”表示连接符。

至此，完成图4所示的流程。

在图4所示流程中，上述步骤403中，BRAS CP设备在本地查找所述VXLAN封装中VXLAN ID对应的在所述BRAS DP设备上的用户接入端口的端口信息之前，还可如图4A所示执行以下步骤：

步骤400c1，BRAS CP设备接收UCM网元下发的所述端口信息，将所述端口信息配置在本地创建的与所述VXLAN ID对应的VSI上。

基于步骤400c1，步骤403中，BRAS CP设备在本地查找所述VXLAN封装中VXLAN ID对应的在所述BRAS DP设备上的用户接入端口的端口信息包括：在本地所有VSI中查找与所述VXLAN ID对应的VSI；确定该查找到的VSI被配置的所述端口信息为所述VXLAN ID对应的在所述BRAS DP设备上的用户接入端口的端口信息。

作为一个实施例，本申请中，BRAS CP设备在步骤400c1之前，如图4A所示还可执行以下步骤：

步骤400d1，BRAS CP设备接收所述UCM网元在接收到配置所述BRAS DP设备上的所述用户接入端口使能BRAS业务的命令时下发的VXLAN隧道配置。

步骤400d2，BRAS CP设备根据所述VXLAN隧道配置创建所述VXLAN隧道。

步骤400d3，BRAS CP设备接收所述UCM网元下发的第二VSI创建指令。其中，所述第二VSI创建指令是用于指示BRAS CP设备创建与所述VXLAN ID对应的VSI的指令。

步骤400d4，BRAS CP设备根据所述第二VSI创建指令创建所述VSI。

通过步骤400d1至步骤400d2，即可实现在BRAS CP设备上创建所述VXLAN ID对应的VSI、以及BRAS CP设备至BRAS DP设备的VXLAN隧道，并且所创建的VXLAN隧道绑定上述VXLAN ID。尽管图4A示出先在步骤400d1发送VXLAN隧道配置、再在步骤400d3发送第二VSI创建指令，但本领域技术人员应能理解，也可以先发送第二VSI创建指令、再发送VXLAN隧道配置，甚至还可以将VXLAN隧道配置与第二VSI创建指令也可以一起发送。

通过图3、图4所示流程可以看出，在本申请中，是由VXLAN ID隐性标识BRAS DP设备上的用户接入端口的端口信息，使得用户接入端口的端口信息能与用户身份信息参与到用户的认证中，实现了用户的接入限制。

另外，在本申请中，BRAS CP设备和BRAS DP设备之间的报文传递使用的是标准VXLAN封装，不需要通过额外增加私有头来携带用户接入端口的端口信息，这样，BRAS DP设备可以使用功能相对简单、但价格低廉的交换芯片来实现用户的接入限制。

还有，在本申请中，实现了对BRAS DP设备上的用户接入端口的端口信息进行认证，并且不需要对认证服务器比如AAA服务器进行任何改进，实施起来相对简单。

下面结合一个实施例对图3、图4所示流程进行描述：

参见图5，图5为本申请提供的实施例应用组网图。图5举例示出了两个BRAS CP设备521、522。图5还举例示出了三个BRAS DP设备531、532、533。

在图5中，BRAS DP设备531、BRAS DP设备532、BRAS DP设备533分别向图5所示的UCM网元100上报本地用户接入端口的端口信息。图5仅示出BRAS DP设备531向UCM网元100上报本地用户接入端口的端口信息。

在图5中，UCM网元100提供了UI。该UI中有BRAS CP设备521、BRAS CP设备522的配置选项，也有BRAS DP设备531、BRAS DP设备532、BRAS DP设备533的配置选项。

以BRAS DP设备531为例，BRAS DP设备532、BRAS DP设备533类似，用户基于业务需求在UI所示的BRAS DP设备531的配置选项中对BRAS DP设备531的用户接入端口进行业务配置。假如用户基于业务需求在UCM网元100提供的UI上配置BRAS DP设备531的用户接入端口g1/0/1使能BRAS业务，则UCM网元100分配一个全局VXLAN ID(记为VXLAN400)用于用户接入端口g1/0/1的BRAS业务，并从BRAS CP设备521、BRAS CP设备522中选择一个用于与BRAS DP设备531建立VXLAN隧道。这里选择BRAS CP设备的方式有多种，比如选择负载最轻的、选择带宽冗余多的等，本实施例并不具体绑定。

假如UCM网元100选择BRAS CP设备521，则UCM网元100下发VXLAN隧道配置给BRAS DP设备531和BRAS CP设备521，以使BRAS DP设备531和BRAS CP设备521之间建立VXLAN隧道。BRAS DP设备531和BRAS CP设备521之间建立VXLAN隧道的方式可为本领域技术人员熟知的任意一种技术，本文不再赘述。建立的VXLAN隧道绑定VXLAN ID“VXLAN400”。假如BRAS DP设备531和BRAS CP设备521之间已建立有VXLAN隧道，则上述选择BRAS CP、下发隧道配置的步骤可省略，直接将已有的VXLAN隧道绑定VXLAN ID“VXLAN400”即可。为便于描述，将绑定VXLAN ID“VXLAN400”的VXLAN隧道记为VXLAN隧道a。

UCM网元100下发第一VSI创建指令给BRAS DP设备531。BRAS DP设备531接收第一VSI创建指令，依据该第一VSI创建指令创建与VXLAN ID“VXLAN400”对应的虚接口551，并将创建的虚接口551绑定至用户接入端口g1/0/1。在应用中，BRAS DP设备531的虚接口551唯一绑定VXLAN ID“VXLAN400”。

UCM网元100下发第二VSI创建指令给BRAS CP设备521。BRAS CP设备521接收第二VSI创建指令，依据该第二VSI创建指令创建与VXLAN ID“VXLAN400”对应的虚接口552。在应用中，BRAS CP设备521的虚接口552唯一绑定VXLAN ID“VXLAN400”。在本实施例中，UCM网元100下发VXLAN隧道配置、第一VSI创建指令、第二VSI创建指令并没有固定的时间先后顺序。

UCM网元100在之前BRAS DP设备531上报的所有用户接入端口的端口信息中找到用户接入端口g1/0/1的端口信息。用户接入端口g1/0/1的端口信息可包括端口所在的子槽位号、子槽位号所属的槽位号、端口号、端口类型。

UCM网元100将找到的用户接入端口g1/0/1的端口信息按照指定格式进行排列，构造出用于对通过用户接入端口g1/0/1接入的用户610进行精确绑定的认证字符串。假如构造的认证字符串为：eth 1/0/1。

UCM网元100将构造的认证字符串配置在BRAS CP设备521的虚接口552。

以上描述了UCM网元100对BRAS DP设备531、BRAS CP设备521的配置。

用户610上线，发送用于请求认证的认证请求报文。认证请求报文是用于对用户610进行认证的报文，携带用户610的身份相关信息、比如用户名和密码。

BRAS DP设备531通过本地用户接入端口g1/0/1收到该认证请求报文，并在识别出该认证请求报文属于控制报文后，查找与本地用户接入端口g1/0/1绑定的虚接口。

BRAS DP设备531发现与本地用户接入端口g1/0/1绑定的虚接口为虚接口551，该虚接口551对应的VXLAN ID为VXLAN400，则按照VXLAN ID“VXLAN400”以及VXLAN ID“VXLAN400”绑定的VXLAN隧道a对该认证请求报文进行VXLAN封装，并通过VXLAN隧道a转发VXLAN封装的认证请求报文。其中，VXLAN封装中的VNI字段携带VXLAN ID“VXLAN400”。

BRAS CP设备521通过VXLAN隧道a接收到VXLAN封装的认证请求报文后，在本地所有虚接口中查找与VXLAN封装中VNI字段携带的VXLAN ID“VXLAN400”对应的虚接口。

BRAS CP设备521找到虚接口552，获取虚接口552被配置的认证字符串eth 1/0/1，将认证字符串eth 1/0/1和认证请求报文携带的用户610的身份相关信息按照约定格式发送给认证服务器(以AAA服务器200为例)进行认证。具体地，BRAS CP设备521生成新的Radius报文，将认证字符串eth 1/0/1和认证请求报文携带的用户610的身份相关信息按照约定格式携带在Radius报文中发送给AAA服务器200。

AAA服务器200对收到的认证字符串eth 1/0/1和用户610的身份相关信息进行认证。具体认证过程可参考本领域技术人员熟知的任意认证技术，这里不再赘述。

可以看出，在本实施例中，通过VXLAN ID隐性标识了BRAS DP设备上用户接入端口的端口信息，在由BRAS DP设备向BRAS CP设备传递控制报文时，通过VXLAN ID间接实现了控制报文携带BRAS DP设备上的用户接入端口的端口信息，使得用户接入端口的端口信息也能参与到用户的认证中，实现了用户的精确认证。

另外，BRAS CP设备和BRAS DP设备之间的报文传递使用的是标准VXLAN封装，不需要通过额外增加私有头来携带对用户进行接入限制的认证信息比如用户接入端口的接入限制信息，这样，BRAS DP设备可以使用功能相对简单、但价格低廉的交换芯片来实现用户的接入限制。

还有，在本实施例中，认证服务器在对用户接入端口的端口信息进行认证，并不需要对认证服务器比如AAA服务器进行任何改进，实施起来相对简单。

以上对本申请提供的方法进行了描述。下面对本申请提供的装置进行描述：

参见图6，图6为本申请提供的认证装置的功能结构图。该装置应用于BRAS转控分离架构中的BRAS CP设备，包括：

接收模块601，用于通过与所述BRAS转控分离架构中的BRAS DP设备之间的VXLAN隧道接收VXLAN封装的控制报文；

处理模块602，用于若检查出所述控制报文为用于对用户进行认证的报文，则在所述BRAS CP设备上查找与所述VXLAN封装中的VXLAN ID对应的用户接入端口的端口信息，其中，所述用户接入端口在所述BRAS DP设备上；将所述端口信息和所述控制报文携带的所述用户的身份信息发送给认证服务器进行认证。

作为一个实施例，所述处理模块602进一步用于，接收UCM网元下发的所述端口信息，将所述端口信息配置在所述BRAS CP设备创建的与所述VXLAN ID对应的VSI上。在这种情况下，所述处理模块602在所述BRAS CP设备上查找与所述VXLAN ID对应的用户接入端口的端口信息包括：在所述BRAS CP设备的所有VSI中查找与所述VXLAN ID对应的VSI；确定该查找到的VSI被配置的所述端口信息为所述VXLAN ID对应的用户接入端口的端口信息。

作为一个实施例，接收模块601还接收所述UCM网元在接收到配置所述BRAS DP设备上的所述用户接入端口使能BRAS业务的命令时下发的VXLAN隧道配置以及所述UCM网元下发的用于创建与所述VXLAN ID对应的VSI的第二VSI创建指令。相应地，所述处理模块602根据所述VXLAN隧道配置创建所述VXLAN隧道；以及，根据所述第二VSI创建指令创建所述VSI。

作为一个实施例，所述用户接入端口的端口信息包括：所述用户接入端口所在的子槽位号、所述子槽位号所属的槽位号、所述用户接入端口的端口号、所述用户接入端口的类型。

至此，完成图6所示装置的结构描述。

相应地，本申请还提供了对应图6所示装置的硬件结构图。如图7所示，其可包括：机器可读存储介质701、处理器702；机器可读存储介质701、处理器702可经由系统总线通信。其中，机器可读存储介质701，用于存储上述接收模块601、处理模块602所执行的操作对应的机器可执行指令；处理器702，用于加载并执行机器可执行指令，以实现上述的认证方法。

作为一个实施例，机器可读存储介质701可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是易失存储器、非易失性存储器或者类似的存储介质。具体地，机器可读存储介质410可以是RAM(Radom Access Memory，随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等)或者它们的组合。

至此，完成图7所示的硬件结构描述。

参见图8，图8为本申请提供的另一装置结构图。如图8所示，该装置应用于BRAS转控分离架构中的BRAS DP设备，包括：

用户端口模块801，用于通过所述BRAS DP设备上的用户接入端口接收用户设备发送的用于对用户进行认证的控制报文，并确定所述用户接入端口对应的VXLAN ID；

发送模块802，用于按照所述VXLAN ID、以及所述VXLAN ID绑定的VXLAN隧道对所述控制报文进行VXLAN封装，并通过所述VXLAN隧道将VXLAN封装的所述控制报文发送至位于所述VXLAN隧道对端的BRAS CP设备。其中，所述VXLAN封装中携带所述VXLAN ID，以使所述BRAS CP设备在本地查找与所述VXLAN ID对应的所述用户接入端口的端口信息，并将所述端口信息和所述控制报文携带的所述用户的身份信息发送给认证服务器进行认证。

作为一个实施例，用户端口模块801在确定所述用户接入端口对应的VXLAN ID时，具体包括：确定与所述用户接入端口绑定的虚接口VSI；将所述虚接口对应的VXLAN ID确定为所述用户接入端口对应的VXLAN ID。

作为一个实施例，如图8所示，该装置进一步包括创建模块803。所述创建模块803，用于接收用户控制管理UCM网元在接收到配置所述用户接入端口使能BRAS业务的命令时下发的VXLAN隧道配置和用于创建与所述用户接入端口绑定且与所述VXLAN ID对应的VSI的第一VSI创建指令；根据所述VXLAN隧道配置创建所述VXLAN隧道；根据所述第一VSI创建指令创建所述VSI。

作为一个实施例，所述发送模块802进一步向UCM网元上报所述用户接入端口的端口信息，以使所述UCM网元向所述BRAS CP设备发送与所述VXLAN ID对应的所述用户接入端口的端口信息。其中，所述用户接入端口的信息包括：所述用户接入端口所在的子槽位号、所述子槽位号所属的槽位号、所述用户接入端口的端口号、所述用户接入端口的类型。

至此，完成图8所示装置的结构描述。

相应地，本申请还提供了对应图8所示装置的硬件结构图。该硬件结构可包括：机器可读存储介质、处理器，具体结构类似图7所示的硬件结构图。其中，机器可读存储介质、处理器可经由系统总线通信。机器可读存储介质，用于存储上述用户端口模块、发送模块、创建模块所执行的操作对应的机器可执行指令；处理器，用于加载并执行机器可执行指令，以实现上述的认证方法。

作为一个实施例，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是易失存储器、非易失性存储器或者类似的存储介质。具体地，机器可读存储介质410可以是RAM(Radom Access Memory，随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等)或者它们的组合。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims

一种认证方法，包括：

宽带远程接入服务器BRAS转控分离架构中的BRAS控制平面CP设备，通过与所述BRAS转控分离架构中的BRAS数据平面DP设备之间的VXLAN隧道接收VXLAN封装的控制报文；

若所述控制报文为用于对用户进行认证的报文，则所述BRAS CP设备在本地查找所述VXLAN封装中VXLAN ID对应的用户接入端口的端口信息，其中，所述用户接入端口在所述BRAS DP设备上；

所述BRAS CP设备将所述端口信息和所述控制报文携带的所述用户的身份信息发送给认证服务器进行认证。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述BRAS CP设备接收用户控制管理UCM网元下发的所述端口信息；以及

所述BRAS CP设备将所述端口信息配置在本地创建的与所述VXLAN ID对应的虚接口VSI上。
根据权利要求2所述的方法，其特征在于，在本地查找所述VXLAN ID对应的用户接入端口的端口信息包括：

所述BRAS CP设备在本地所有虚接口中查找与所述VXLAN ID对应的VSI；

所述BRAS CP设备将查找到的VSI被配置的所述端口信息确定为所述VXLAN ID对应的用户接入端口的端口信息。
根据权利要求2所述的方法，其特征在于，所述方法还包括：

所述BRAS CP设备接收所述UCM网元在接收到配置所述BRAS DP设备上的所述用户接入端口使能BRAS业务的命令时下发的VXLAN隧道配置，

所述BRAS CP设备根据所述VXLAN隧道配置创建所述VXLAN隧道；

所述BRAS CP设备接收所述UCM网元下发的第二VSI创建指令，其中所述第二VSI创建指令用于指示所述BRAS CP设备创建与所述VXLAN ID对应的VSI，

所述BRAS CP设备根据所述第二VSI创建指令在本地创建与所述VXLAN ID对应的VSI。
根据权利要求1所述的方法，其特征在于，所述端口信息包括：

所述用户接入端口所在的子槽位号、

所述子槽位号所属的槽位号、

所述用户接入端口的端口号、

所述用户接入端口的类型。
一种认证方法，包括：

宽带远程接入服务器BRAS转控分离架构中的BRAS数据平面DP设备，通过本地的用户接入端口接收用户设备发送的用于对用户进行认证的控制报文；

所述BRAS DP设备确定所述用户接入端口对应的VXLAN ID；

所述BRAS DP设备按照所述VXLAN ID、以及所述VXLAN ID绑定的VXLAN隧道对所述控制报文进行VXLAN封装，其中，所述VXLAN封装中携带所述VXLAN ID；并

所述BRAS DP设备通过所述VXLAN隧道将VXLAN封装的所述控制报文发送至位于所述VXLAN隧道对端的BRAS控制平面CP设备。
根据权利要求6所述的方法，其特征在于，确定所述用户接入端口对应的VXLAN ID包括：

所述BRAS DP设备确定与所述用户接入端口绑定的虚接口VSI；

所述BRAS DP设备将所述VSI对应的VXLAN ID确定为所述用户接入端口对应的VXLAN ID。
根据权利要求6所述的方法，其特征在于，所述方法还包括：

所述BRAS DP设备接收用户控制管理UCM网元在接收到配置所述用户接入端口使能BRAS业务的命令时下发的VXLAN隧道配置和第一VSI创建指令，其中，所述第一VSI创建指令用于指示所述BRAS DP设备创建与所述用户接入端口绑定的且与所述VXLAN ID对应的VSI；

所述BRAS DP设备根据所述VXLAN隧道配置创建所述VXLAN隧道；

所述BRAS DP设备根据所述第一VSI创建指令创建所述VSI。
根据权利要求6所述的方法，其特征在于，所述方法，还包括：

所述BRAS DP设备向用户控制管理UCM网元上报所述用户接入端口的端口信息，以使所述UCM网元向所述BRAS CP设备发送与所述VXLAN ID对应的所述用户接入端口的端口信息。
根据权利要求9所述的方法，其特征在于，所述用户接入端口的端口信息包括：

所述用户接入端口所在的子槽位号、

所述子槽位号所属的槽位号、

所述用户接入端口的端口号、

所述用户接入端口的类型。
一种认证装置，该装置应用于宽带远程接入服务器BRAS转控分离架构中的BRAS控制平面CP设备，包括：

接收模块，用于通过与所述BRAS转控分离架构中的BRAS数据平面DP设备之间的VXLAN隧道接收VXLAN封装的控制报文；

处理模块，用于若检查出所述控制报文为用于对用户进行认证的报文，则

在所述BRAS CP设备上查找与所述VXLAN封装中的VXLAN ID对应的用户接入端口的端口信息，其中所述用户接入端口在所述BRAS DP设备上；

将所述端口信息和所述控制报文携带的所述用户的身份信息发送给认证服务器进行认证。
根据权利要求11所述的装置，其特征在于，所述处理模块进一步用于：

接收用户控制管理UCM网元下发的所述端口信息，

将所述端口信息配置在所述BRAS CP设备创建的与所述VXLAN ID对应的虚接口VSI上。
根据权利要求12所述的装置，其特征在于，所述处理模块在所述BRAS CP设备上查找与所述VXLAN ID对应的端口信息，具体包括：

在所述BRAS CP设备的所有VSI中查找与所述VXLAN ID对应的VSI；

确定该查找到的VSI被配置的所述端口信息为所述VXLAN ID对应的端口信息。
一种认证装置，该装置应用于宽带远程接入服务器BRAS转控分离架构中的BRAS数据平面DP设备，包括：

用户端口模块，用于通过所述BRAS DP设备上的用户接入端口接收用户设备发送的用于对用户进行认证的控制报文，并确定所述用户接入端口对应的VXLAN ID；

发送模块，用于按照所述VXLAN ID、以及所述VXLAN ID绑定的VXLAN隧道对所述控制报文进行VXLAN封装，并通过所述VXLAN隧道将VXLAN封装的所述控制报文发送至位于所述VXLAN隧道对端的BRAS控制平面CP设备，其中，所述VXLAN封装中携带所述VXLAN ID。
根据权利要求14所述的装置，其特征在于，所述用户端口模块在确定所述用户接入端口对应的VXLAN ID时，包括：

确定与所述用户接入端口绑定的虚接口VSI；

将所述VSI对应的VXLAN ID确定为所述用户接入端口对应的VXLAN ID。
根据权利要求14所述的装置，其特征在于，该装置进一步包括创建模块，所述创建模块用于：

接收用户控制管理UCM网元在接收到配置所述用户接入端口使能BRAS业务的命令时下发的VXLAN隧道配置和第一VSI创建指令，其中，所述第一VSI创建指令用于指示所述BRAS DP设备创建与所述用户接入端口绑定且与所述VXLAN ID对应的VSI；

根据所述VXLAN隧道配置创建所述VXLAN隧道；

根据所述第一VSI创建指令创建所述VSI。
根据权利要求14所述的装置，其特征在于，

所述发送模块进一步向用户控制管理UCM网元上报所述用户接入端口的端口信息，以使所述UCM网元向所述BRAS CP设备发送与所述VXLAN ID对应的所述用户接入端口的端口信息；

所述用户接入端口的端口信息包括：所述用户接入端口所在的子槽位号、所述子槽位号所属的槽位号、所述用户接入端口的端口号、所述用户接入端口的类型。
一种认证装置，该装置应用于宽带远程接入服务器BRAS转控分离架构中的BRAS控制平面CP设备，包括：

非暂时性机器可读存储介质，存储有机器可执行指令；

处理器，用于执行所述机器可执行指令，以

通过与所述BRAS转控分离架构中的BRAS数据平面DP设备之间的VXLAN隧道接收VXLAN封装的控制报文；

若所述控制报文为用于对用户进行认证的报文，则在所述BRAS CP设备上查找所述VXLAN封装中VXLAN ID对应的用户接入端口的端口信息，其中，所述用户接入端口在所述BRAS DP设备上；

将所述端口信息和所述控制报文携带的所述用户的身份信息发送给认证服务器进行认证。
根据权利要求18所述的装置，其特征在于，所述机器可执行指令还促使所述处理器：

接收用户控制管理UCM网元下发的所述端口信息，

将所述端口信息配置在所述BRAS CP设备创建的与所述VXLAN ID对应的虚接口VSI上。
根据权利要求19所述的装置，其特征在于，在所述BRAS CP设备上查找与所述VXLAN ID对应的端口信息时，所述机器可执行指令促使所述处理器：

在所述BRAS CP设备的所有虚接口中查找与所述VXLAN ID对应的VSI；

确定该查找到的VSI被配置的所述端口信息为所述VXLAN ID对应的端口信息。
一种认证装置，该装置应用于宽带远程接入服务器BRAS转控分离架构中的BRAS数据平面DP设备，包括：

非暂时性机器可读存储介质，存储有机器可执行指令；

处理器，用于执行所述机器可执行指令，以

通过所述BRAS DP设备上的用户接入端口接收用户设备发送的用于对用户进行认证的控制报文，并确定所述用户接入端口对应的VXLAN ID；

按照所述VXLAN ID、以及所述VXLAN ID绑定的VXLAN隧道对所述控制报文进行VXLAN封装，并通过所述VXLAN隧道将VXLAN封装的所述控制报文发送至位于所述VXLAN隧道对端的BRAS控制平面CP设备，其中，所述VXLAN封装中携带所述VXLAN ID。
根据权利要求21所述的装置，其特征在于，在确定所述用户接入端口对应的VXLAN ID时，所述机器可执行指令促使所述处理器：

确定与所述用户接入端口绑定的虚接口VSI；

将所述VSI对应的VXLAN ID确定为所述用户接入端口对应的VXLAN ID。
根据权利要求21所述的装置，其特征在于，所述机器可执行指令还促使所述处理器：

接收用户控制管理UCM网元在接收到配置所述用户接入端口使能BRAS业务的命令时下发的VXLAN隧道配置和第一VSI创建指令，其中，所述第一VSI创建指令用于指示所述BRAS DP设备创建与所述用户接入端口绑定且与所述VXLAN ID对应的VSI；

根据所述VXLAN隧道配置创建所述VXLAN隧道；

根据所述第一VSI创建指令创建所述VSI。
根据权利要求21所述的装置，其特征在于，所述机器可执行指令还促使所述处理器：

向用户控制管理UCM网元上报所述用户接入端口的端口信息，以使所述UCM网元向所述BRAS CP设备发送与所述VXLAN ID对应的所述用户接入端口的端口信息；

所述用户接入端口的端口信息包括：所述用户接入端口所在的子槽位号、所述子槽位号所属的槽位号、所述用户接入端口的端口号、所述用户接入端口的类型。