一種數據轉發方法、無線接入點及通信系統與流程

2023-07-04 12:53:36

本發明涉及通信
技術領域：
：，尤其涉及一種數據轉發方法、無線接入點及通信系統。
背景技術：
：：自2002年瘦ap(wirelessaccesspoint，無線接入點)架構成為wlan(wirelesslocalareanetworks，無線區域網)業界新的趨勢後，ac(wirelessaccesspointcontroller，無線控制器)+ap組網成為wlan系統中主流的組網模式。ac對系統中的所有ap進行統一配置和管理，並對系統中的用戶執行認證、流量統計和強制下線等策略。在瘦ap架構中，ap和ac之間報文的交互使用capwap(controlandprovisioningofwirelessaccesspoints，無線接入點的控制和配置)協議。capwap協議是一種定義ac和ap之間控制報文和數據報文交互的框架性應用層協議，規定ac和ap之間採用udp(userdatagramprotocol，用戶數據報協議)的c/s(client/server，客戶機與伺服器)模型進行交互。capwap報文分為控制報文和數據報文兩種，控制報文主要用於ac和ap之間的流程性交互，如建鏈、配置下發、ac和ap之間保活、終端上下線、統計信息上報；數據報文主要用於用戶數據的傳輸，ap對用戶數據的轉發以集中轉發和本地轉發兩種轉發模式最為常見。本地轉發的基本思想是通過網橋的mac表(mediaaccesscontrol,介質訪問控制)實現數據轉發。當網橋接收到報文時，獲得其接收埠和源mac地址，並將兩者的對應關係添加到mac表中，然後以該報文的目的mac地址為關鍵字查詢mac表，找到該mac對應的轉發條目，進而獲取該報文對應的出接口，並將報文由該接口發送出去。集中轉發的基本思想是在用戶所有報文的外層封裝一層capwap隧道，因為該隧道的目的ip(internetprotocol，網絡協議)是ac的ip地址，所以，所 有的報文均由ac集中處理，隧道報文到達ac後，ac將外層封裝的隧道解封裝，然後進行本地轉發。capwap隧道封裝順序依次是：capwap隧道頭、udp頭、ip頭、以太頭。但是兩種轉發方式都存在各自的不足之處，本地轉發主要存在以下不足：1)本地轉發有應用的局限性，它僅適用於免認證、或者ap作認證點的wep(wiredequivalentprivacy，有線等效保密協議)、wpa/wpa2-psk(wi-fiprotectedaccess，wifi網絡安全接入)、802.1x認證，對於目前應用比較廣泛的、ac集中認證的portal(網際網路門戶)認證、802.1x等認證方式並不適用；2)由於所有的用戶數據都經ap本地轉發出去，因此，ac上很難準確地統計用戶流量，從而影響用戶計費。集中轉發主要存在以下不足：1)ac和ap側均需要增加對所有數據報文封裝和解封裝capwap隧道的處理流程，在一定程度上會降低報文的轉發效率；2)數據報文外層封裝capwap隧道，增加報文的載荷，降低數據報文的傳輸速率；並且封裝隧道後的報文長度可能會大於發送接口的mtu(maximumtransmissionunit，最大通信單元)，導致報文分片，也同樣會降低報文轉發效率，影響系統性能；3)由於ac不僅需要對所有接收的隧道報文都要解封裝隧道，還需要對發送到ap的所有報文都要封裝隧道，因此，當關聯用戶數多、數據量大時，ac負荷增大，要求ac必須具備快速處理大量數據的能力，否則，容易出現丟包等問題，影響網絡質量。技術實現要素：本發明要解決的主要技術問題是，提供一種數據轉發方法、無線接入點及通信系統，以解決在進行用戶數據轉發時，無線控制器的負荷過大，從而降低數據轉發效率和網絡質量，同時也不方便對用戶數據集中管理和控制，從而對用戶流量無法準確統計的技術問題。為解決上述技術問題，本發明提供一種數據轉發方法，包括：確認無線終端是否通過認證；若所述無線終端未通過認證，將所述無線終 端發送的管理數據報文以集中轉發的方式上報至無線控制器進行認證；若所述無線終端通過認證，將所述無線終端發送的業務數據報文以本地轉發的方式轉發至網絡。在本發明一種實施例中，在所述確認無線終端是否通過認證之後，還包括：若所述無線終端未通過認證，將所述無線終端發送的預設業務數據報文以本地轉發的方式轉發至網絡。在本發明一種實施例中，在將所述無線終端發送的管理數據報文以集中轉發的方式上報至無線控制器進行認證之後，還包括：若所述無線終端通過認證，將所述無線終端的參數信息進行統計並上報至所述無線控制器。在本發明一種實施例中，在將所述無線終端發送的管理數據報文以集中轉發的方式上報至無線控制器進行認證之後，還包括：若所述無線終端通過認證，從本地動態主機配置協議伺服器中獲取所述無線終端的網絡協議地址；將所述網絡協議地址發送至所述無線控制器。在本發明一種實施例中，所述管理數據報文至少包括以下任意一項：超文本傳輸協議數據報文、安全套接層超文本傳輸協議數據報文、可擴展身份驗證協議數據報文。在本發明一種實施例中，對所述無線終端的認證方式至少包括：門戶認證和可擴展身份驗證協議認證。進一步地，本發明還提供了一種無線接入點，包括：處理模塊，用於確認無線終端是否通過認證；認證模塊，用於若所述無線終端未通過認證，將所述無線終端發送的管理數據報文以集中轉發的方式上報至無線控制器進行認證；第二轉發模塊，用於若所述無線終端通過認證，將所述無線終端發送的業務數據報文以本地轉發的方式轉發至網絡。在本發明一種實施例中，還包括：第一轉發模塊，用於在處理模塊確認無線終端是否通過認證之後，若所述無線終端未通過認證，將所述無線終端發送的預設業務數據報文以本地轉發的方式轉發至網絡。在本發明一種實施例中，所述管理數據報文至少包括以下任意一項：超文本傳輸協議數據報文、安全套接層超文本傳輸協議數據報文、可擴展身份驗證協議數據報文。進一步地，本發明還提供了一種通信系統，包括無線控制器、認證伺服器以及如上所述的無線接入點；所述無線接入點在所述無線控制器上註冊上線；所述無線控制器下發配置信息至所述無線接入點；所述無線接入點根據所述配置信息啟動無線服務，並允許無線終端關聯所述無線服務；所述無線接入點接收無線終端發送的管理數據報文併集中轉發至所述無線控制器；所述無線控制器通過所述認證伺服器對所述管理數據報文進行認證，並將認證結果下發至所述無線接入點。本發明的有益效果是：本發明提供了一種數據轉發方法，包括：確認無線終端是否通過認證；若該無線終端未通過認證，則將無線終端發送的管理數據報文以集中轉發的方式上報至無線控制器進行認證；若該無線終端通過認證，則將無線終端發送的業務數據報文以本地轉發的方式轉發至網絡，從而實現接入用戶數據的智能轉發，即認證前管理數據報文集中轉發、認證後業務數據報文本地轉發，有效地彌補本地轉發和集中轉發兩種數據轉發方式的不足之處，將二者的優點有效地結合，在提高系統性能的同時也大大減少無線控制器和無線接入點之間數據報文的交互數量，進而減輕無線控制器的負荷，降低無線控制器的性能要求，提升數據轉發效率，從而提升網絡質量和用戶體驗。此外，本發明還提供了一種無線接入點，通過對無線終端的認證確定採用何種數據轉發方式對數據進行轉發；其開發周期短，實現方案簡單，只需在無線接入點側設置轉發規則即可，該轉發規則即為在無線終端認證前將管理數據報文集中轉發至無線控制器，在無線終端認證後將業務數據報文本地轉發至網絡。附圖說明圖1為本發明實施例一提供的數據轉發方法流程圖；圖2為本發明實施例一提供的sta關聯ap無線服務的流程圖；圖3為本發明實施例二提供的無線接入點示意圖；圖4為本發明實施例二提供的通信系統示意圖；圖5為本發明實施例二提供的瘦ap架構下智能轉發模式的數據交互示意 圖；圖6為本發明實施例三提供的瘦ap架構下portal認證流程圖。圖7為本發明實施例四提供的瘦ap架構下peap認證流程圖。具體實施方式下面通過具體實施方式結合附圖對本發明作進一步詳細說明。實施例一本實施例提供一種數據轉發方法，請參見圖1，其具體處理步驟如下：s101，確認sta(station，無線終端)是否通過認證，若未通過認證，執行s102步驟，若通過認證，執行s103步驟；s102，將sta發送的管理數據報文以集中轉發的方式上報至ac進行認證；s103，將sta發送的業務數據報文以本地轉發的方式轉發至網絡。通過上述步驟的實施，以sta是否認證作為採用集中轉發或者本地轉發的衡量標準，智能的對數據報文進行轉發，有效的減輕ac負荷，降低對ac的性能要求，進而提升數據轉發效率和網絡質量；此外，還降低應用的局限性，使其適用更多認證方式；同時，ap通過將統計數據(如用戶流量)封裝成capwap控制報文上報至ac，使得ac能也能準確的統計參數信息，從而不影響用戶計費。其中，參數信息包括但不限於時間計費、流量計費、用戶上下線統計。應當明白的是，在執行完s102步驟後，若sta認證通過，則直接執行s103步驟；若sta認證未通過，則繼續執行s102，直到認證通過，執行s103步驟；或者sta結束認證。此外，上述數據報文包括但不限於管理數據報文和業務數據報文，下面將依次對管理數據報文和業務數據報文做出說明。管理數據報文至少包括以下任意一下：http(hypertexttransferprotocol，超文本傳輸協議)數據報文、https(hypertexttransferprotocoloversecuresocketlayer，安全套接層超文本傳輸協議)數據報文、eap(extensibleauthenticationprotocol，為可擴展身份驗證協議)數據報文，主要用於對sta身份進行認證，在sta認證通過後，也會通過ap集中轉發該管理數據報文，其目的在於，因為網絡狀況差、網絡故障等原因導致sta在通過認證後掉線，通過ap將管理數據報文集中轉發至ac重新 進行認證，以保證sta正常訪問網絡，或者便於訪問認證伺服器提供的本地信息(如本地視頻、廣告等)。業務數據報文主要用於sta數據的傳輸，通過數據的傳輸就可進行網絡訪問，也可以理解為進行網上衝浪；當然，部分業務數據報文用於方便用戶記憶ip(internetprotocol，網絡之間互連的協議)地址、對ip地址進行動態分配，如arp(addressresolutionprotocol，地址解析協議)數據報文、dns(domainnameservice，域名服務系統)數據報文、dhcp(dynamichostconfigurationprotocol，動態主機配置協議)數據報文等等。上述管理數據報文和業務數據報文僅是用於對本實施例進行解釋，並不用於限定本發明，對於其他基於本發明方案的管理數據報文和業務數據報文同樣屬於本發明保護的範圍。在s101步驟之前，即確認sta是否通過認證之前，還包括sta關聯ap的無線服務的過程，以確定sta是否能正常接入ap，請參見圖2，其具體過程如下：s201，ap遵循capwap協議在ac上註冊上線；具體的，首先ap獲取ip地址，該ip可以為靜態也可為動態；然後找到所需的ac，與ac之間建立capwap隧道；ap向ac發送加入請求，ac根據ap發送的請求判斷是否允許ap接入，並將判斷結果下發至ap；ap允許被接入後，ac與ap之間通過keepalive(保活)報文和echo報文檢測數據隧道和控制隧道的連通性，其中，keepalive報文標誌數據隧道已建立，echo報文的出現，標誌控制隧道已建立。至此，標誌ap遵循capwap協議在ac成功註冊上線。s202，ac下發配置信息至ap；具體的，ac與ap間的capwap隧道建立完畢，下發配置信息至ap，ap根據配置信息執行wlan業務。配置信息包括全局配置、射頻配置、服務配置和用戶接入控制配置，其中，全局配置包括周期性流量統計開關和上報周期；服務配置用於添加無線服務，無線服務的轉發模式為智能本地轉發，同時服務配置中設定了ipacl(accesscontrollist，訪問控制列表)規則，該規則是指，指定目的ip為portal伺服器ip地址的報文集中轉發至ac，也即將發送至portal伺服器的數據集中轉發至ac進行處理；用戶接入控制配置用於控制sta接入無線服務，具體請參見下文針對s204的詳細說明。s203，根據ac下發的配置信息，啟動無線服務；具體的，對服務配置中設定的規則進行應用，也即在ap中也配置ipacl規則，將發送至portal伺服器的報文集中轉發至ac進行集中處理。s204，sta關聯該無線服務；具體的，sta可以是筆記本、手機，能夠關聯無線服務的sta均可應用於本發明保護的方案；在sta關聯無線服務時，ap根據ac下發的用戶接入控制配置確認sta是否可以關聯無線服務。若可以關聯無線服務，則進行網絡訪問；若不可以關聯無線服務，則拒絕網絡訪問。在用戶接入配置信息中，除了系統原有的配置外，增加了用戶的認證狀態(剛接入時配置為未認證)、虛擬ip地址(ac為該用戶分配的，在portal認證方式時下發)等智能轉發需要的配置信息。對於portal認證方式，請參見實施例三的相關分析，本實施例不做詳細說明。進一步地，sta關聯到ap的無線服務後，sta還未進行認證，ap根據ac下發的用戶接入控制配置，將sta的管理數據報文的源ip地址修改為ac為其分配的虛擬ip地址，以建立ac與ap之間的通信。同時，ap配置管理數據報文和業務數據報文的ebtables轉發規則：ap將管理數據報文集中轉發到ac，將預設業務數據報文本地轉發至網絡，其他非預設業務數據報文丟棄，即不對其他業務數據報文進行轉發。其中，預設業務數據報文為sta預先設定的可以進行本地轉發的數據報文，包括但不限於arp(arp(addressresolutionprotocol，地址解析協議)報文、dns(domainnameservice，域名服務系統報文)、dhcp(dynamichostconfigurationprotocol，動態主機配置協議)報文，對於其他基於本發明構思的業務數據報文同樣適用於本實施例，同樣屬於本發明的保護範圍。通過ebtables轉發規則，將未認證用戶發送的預設管理數據報文以集中轉發的方式上報至ac進行認證，將未認證用戶的非預設業務數據報文丟棄，也可以理解為非預設的業務數據報文為非法數據報文，不具備訪問網絡的權限，因此直接將該數據報文丟棄。通過上述ebtables轉發規則，在減輕ac數據處理負荷、提升數據轉發效率的同時，也避免未認證用戶訪問internet，使得ac無法統計用戶流量。對於ebtables轉發規則，可以理解為在ap上設置一個數據轉發規則，滿足規則的數據正常轉發，不滿足的數據拒絕轉發，從而提高數據轉發效率，實現數據的智能轉發。進一步地，在s101步驟中，ap通過capwap控制報文上報sta上線信息給ac，與ac進行交互，從而確定sta是否通過認證。進一步地，在s102步驟中，對sta進行認證的整體過程如下：sta發送認證信息至ap，ap將該認證信息上報至ac，ac根據認證信息驗證該sta是否通過認證，並將認證結果下發至ap，ap再將認證結果轉發至sta，若sta通過認證，則正常訪問internet，若sta未通過認證，則重新進行認證，執行上述認證過程。其中，認證信息被攜帶在管理數據報文中，管理數據報文以集中轉發的形式進行上報。對sta的認證方式包括但不限於portal認證和peap認證，對於其他基於本發明方案的認證方式同樣可以應用於本發明。就portal認證和peap認證而言，二者認證的區別在於，portal認證先獲取ip地址，再進行認證；而peap認證先進行認證，再獲取ip地址。對於portal認證和peap認證過程，整體如下：portal認證中，sta先從本地dhcp伺服器中獲取ip地址，然後向internet發送http請求，ac強制在sta上彈出portal認證頁面，sta在portal認證頁面上填寫用戶名和密碼等認證信息，portal認證頁面將認證信息發送至ac，ac將認證信息轉發至radius伺服器，radius伺服器對認證信息進行認證，並將認證結果發送至ac，ac將認證結果通知portal伺服器和ap，最後portal伺服器將認證結果推送給sta，使得sta確認是否認證成功；peap認證中，sta將eap報文(該報文中包含用戶名、密碼等信息)發送至ap，ap將eap報文封裝成隧道報文並發送至ac，ac將隧道報文進行解析得到eap報文，將eap報文轉換成radius報文並發送至radius伺服器進行認證，radius伺服器將認證結果發送至ac，ac將包含認證結果的radius報文轉換成eap報文並封裝成隧道報文下發至ap，ap對該隧道報文進行解析得到eap報文，將eap報文發送至sta，使得sta能夠確認是否通過認證。值得注意的是，本實施例以portal認證和peap認證兩種認證方式對本發明進行解釋，但不用於限定本發明。對於上述兩種認證方式具體請參見實施例三和實施例四，這裡不再詳細贅述。其中，實施例三針對portal認證，實施例四針對peap認證。進一步地，在s103步驟中，sta通過認證後，ap針對已認證sta的管理數據報文和業務數據報文設置ebtables/iptables轉發規則，該轉發規則為：sta的業務數據報文以本地轉發的方式轉發至internet，管理數據報文以集中轉發的方式上報至ac，並通過iptables規則在轉發鏈上開始統計用戶流量。可以理解 為在ap上設置另一數據轉發規則，只有滿足設定規則，才能正常進行數據轉發，若不滿足則拒絕轉發從而實現數據的智能轉發。具體的，ebtables規則即為乙太網橋防火牆規則，乙太網橋工作在數據鏈路層，ebtables來過濾數據鏈路層數據包，對數據進行轉發；iptables規則工作在網絡層，主要用於對用戶流量進行統計。此外，sta的mac地址作為源mac地址，其發送的業務數據報文以本地轉發的方式轉發至internet；上述管理數據報文是指eap管理數據報文和滿足ipacl規則的管理數據報文，認證後將管理數據報文集中轉發至ac的目的在於，便於訪問認證伺服器提供的本地信息(如本地視頻、廣告等)。進一步地，sta認證後，從本地dhcp伺服器中獲取ip地址，然後才能進行internet訪問。與此同時，ap將sta獲取的ip地址上報至ac，其目的在於，當sta在ap間漫遊時，ac會將sta的真實ip地址下發至漫遊後的ap，從而關聯到漫遊後的ap的無線服務。進一步地，ap會將已認證sta的流量進行統計並以capwap控制報文的形式上報至ac，以完成流量計費。當然，ap可以周期性的統計sta流量，再周期性的上報至ac；或者周期性的統計sta流量，然後直接上報至ac；或者不定期的統計sta流量進行上報，等等，只要將sta流量進行統計並上報至ac，都屬於本發明保護的範圍。對於其他sta進入該wlan系統後，遵照上一sta進行數據智能轉發，當然，該sta直接關聯ap無線服務並按照上述方式進行認證，就可進行internet訪問。與現有wlan系統相比，本發明引入了一種新的報文轉發模式，該轉發模式解決了本地轉發模式和集中轉發模式兩種轉發模式的不足之處，實現了sta數據的智能轉發，即認證前管理數據報文集中轉發，認證後業務數據報文本地轉發。本發明提供的方法，減少需要封裝隧道報文的數量，減輕ac與ap的負荷，降低ac與ap的性能壓力，提高數據轉發效率，從而提升了網絡質量和用戶體驗；同時，該智能轉發方式對其應用範圍也不存在較大的局限性。實施例二請參見圖3，圖3為本實施例提供的無線接入點示意圖，該無線接入點包括：處理模塊301，用於確認sta是否通過認證；認證模塊302，用於若sta未通過認證，將sta發送的管理數據報文以集中轉發的方式上報至ac進行認證；第二轉發模塊304，用於若sta通過認證，將sta發送的業務數據報文以本地轉發的方式轉發至網絡。通過上述步驟的實施，以sta是否認證作為採用集中轉發或者本地轉發的衡量標準，智能的對數據報文進行轉發，有效的減輕ac負荷，降低對ac的性能要求，進而提升數據轉發效率和網絡質量；此外，還降低應用的局限性，使其適用更多認證方式；同時，ap通過將統計數據(如用戶流量)封裝成capwap控制報文上報至ac，使得ac能也能準確的統計參數信息，從而不影響用戶計費。其中，參數信息包括但不限於時間計費、流量計費、用戶上下線統計。應當明白的是，在認證模塊302將sta發送的管理數據報文以集中轉發的方式上報至ac進行認證後，若sta認證通過，則直接通過第二轉發模塊304將sta發送的業務數據報文以本地轉發的方式轉發至網絡；若sta認證未通過，則繼續通過認證模塊302對sta進行認證，直到認證通過，由第二轉發模塊304進行業務數據報文本地轉發，或者sta結束認證。此外，上述數據報文包括但不限於管理數據報文和業務數據報文，下面將依次對管理數據報文和業務數據報文做出說明。管理數據報文至少包括包括以下任意一項：http(hypertexttransferprotocol，超文本傳輸協議)數據報文、https(hypertexttransferprotocoloversecuresocketlayer，安全套接層超文本傳輸協議)數據報文、eap(extensibleauthenticationprotocol，為可擴展身份驗證協議)數據報文，主要用於對sta身份進行認證，在sta認證通過後，也會通過ap集中轉發該管理數據報文，其目的在於，因為網絡狀況差、網絡故障等原因導致sta在通過認證後掉線，通過ap將管理數據報文集中轉發至ac重新進行認證，以保證sta正常訪問網絡，或者便於訪問認證伺服器提供的本地信息(如本地視頻、廣告等)。業務數據報文主要用於sta數據的傳輸，通過數據的傳輸就可進行網絡訪問，也可以理解為進行網上衝浪；當然，部分業務數據報文用於方便用戶記憶ip(internetprotocol，網絡之間互連的協議)地址、對ip地址進行動態分配，如arp(addressresolutionprotocol，地址解析協議)數據報文、dns(domainnameservice，域名服務系統)數據報文、dhcp(dynamichostconfigurationprotocol，動態主機配置協議)數據報文等等。上 述管理數據報文和業務數據報文僅是用於對本實施例進行解釋，並不用於限定本發明，對於其他基於本發明方案的管理數據報文和業務數據報文同樣屬於本發明保護的範圍。進一步地，還包括：第一轉發模塊303，用於在處理模塊301確認無線終端是否通過認證之後，若所述無線終端未通過認證，將所述無線終端發送的預設業務數據報文以本地轉發的方式轉發至網絡。需要注意的是，第一轉發模塊303與認證模塊302的先後順序本實施不做限定，二者可同時執行，也可先後執行。此外，上述實施例一中的方法可應用於本實施例提供的無線接入點，故本實施例不再對無線接入點部分模塊做詳細說明，具體內容請參見實施例一中的相關描述。進一步地，請參見圖4，本實施例還提供了一種通信系統，包括：認證伺服器41、無線控制器42以及如上述所述的無線接入點43；無線接入點43在無線控制器42上註冊上線；無線控制器42下發配置信息至無線接入點43；無線接入點43根據配置信息啟動無線服務，並允許無線終端關聯該無線服務；無線接入點43接收無線終端發送的管理數據報文併集中轉發至無線控制器42；無線控制器42通過認證伺服器41對管理數據報文進行認證，並將認證結果下發至無線接入點43。其中，無線接入點43包括處理模塊431、認證模塊432和第二轉發模塊433，該無線接入點43。此外，本實施中的無線接入點43同樣適用於上述圖3中的無線接入點(未在附圖中示出)，因此，本實施例不再對無線接入點43中各模塊進行詳細說明。具體的，請參見圖5，本實施例將以同一ac下兩個sta的數據交互為例，說明瘦ap架構下智能轉發模式的數據交互過程。portal伺服器：一個門戶網站，為需要portal認證的關聯用戶sta1、sta2推送portal認證頁面，收集用戶認證信息。並與ac通過portal協議交互，將用戶認證信息上報給ac。在用戶認證結束後，ac將用戶認證結果反饋給它，根據結果，它給用戶sta1、sta2推送相應的認證成功或者失敗的頁面。ac(無線控制器)：負責對ap1、ap2進行統一管理，包括配置下發、用戶管理、信息統計等等，其中，ac配置ap1、ap2無線服務的數據轉發模式為智能本地轉發。portal認證時，實現用戶強制portal，業務控制，接收portalserver發起的認證請求，與認證伺服器交互，完成用戶認證功能。peap認證時，通過 eap報文與sta1、sta2交互，獲取用戶認證信息，與認證伺服器aaaserver交互，完成用戶認證功能。認證通過後，ac周期性地將終端sta1、sta2的流量統計信息上報給aaaserver，實現計費。aaaserver(3a認證伺服器)：負責用戶認證、計費。它與ac之間使用radius協議進行交互，完成對用戶的身份認證、計費功能：認證結束後，將sta1/sta2認證結果通知ac，ac周期性地將終端sta1、sta2的流量統計信息上報它，它來實現對這兩個終端的計費。同時，它還接收ac的用戶上下線請求，觸發認證和計費流程的開始或者結束。router(路由器):工作在網絡層，具有連接不同類型網絡的功能，將ac所在的廣域網和ap1/ap2所在的區域網連接起來，並且它根據目的ip地址，通過查詢路由緩存和路由表，選擇合適的轉發路徑，實現對設備各個埠接收到的報文的轉發。該設備開啟dhcprelay功能，通過在switch(交換機)上劃分vlan(virtuallocalareanetwork，虛擬區域網)，保證ap1、ap2的ip地址由ac分配。ac和ap1/ap2之間的capwap控制報文，以及sta1、sta2的隧道報文都經該設備路由轉發。switch(交換機):工作在區域網中，將ap、ap、localdhcpserver連接起來，形成一個區域網。它根據報文的目的mac，查詢mac表，找到該目的mac對應的出埠，由該埠將報文發送出去，從而實現報文在埠之間的轉發。在智能轉發模式下，該設備主要轉發ac和ap1/ap2間的capwap控制報文，以及sta1與sta2之間的數據報文。localdhcpserver(本地dhcp伺服器):本地的dhcp伺服器，它負責為本地的dhcp客戶端分配ip地址。當sta1、sta2的dhcp報文分別通過ap1、ap2本地轉發在區域網內廣播，該設備會響應dhcp請求，為sta1、sta2分別分配ip地址。ap1(無線接入點1)，該設備註冊到ac，由ac對其執行配置下發(全局配置、射頻配置和服務配置)和用戶接入控制，終端設備sta1可以關聯該ap的無線服務。該設備可以將sta1的上下線信息上報給ac。需要注意的是，ap2(無線接入點2)與ap1類似，故這裡不再重複。sta1(無線終端1)，關聯ap1的無線服務，在認證前，該終端所有的http/https/eap報文(管理報文)都由ap1在外層封裝隧道報文，路由轉發 到ac，由ac解封裝後進行轉發；在認證前，該終端所有的arp/dhcp/dns報文(數據報文)均由ap1本地轉發出去，由localdhcpserver為sta1分配ip地址。在認證通過後，除了發送到特定ip地址(ac下發的acl配置指定)如portal伺服器地址的任何報文和sta1的eap報文集中轉發外，其他報文均由ap1本地轉發出去。具體的，發送到sta2的數據通過ap1本地轉發，然後經過switch轉發到達ap2，最後由ap2將數據本地轉發給sta2。需要注意的是，sta2(無線終端2)與sta1類似，故這裡不再重複。在圖5中，ac和ap1、ap2間進行capwap控制報文交互，該類管理報文中以ac的ip地址為源ip，ap1/ap2的ip地址為目的ip的請求報文，主要用於ac對ap1、ap2下發一系列配置信息，包括全局配置、射頻配置、服務配置；以ap1/ap2的ip地址為源ip，ac的ip地址為目的ip的請求報文，主要與ap1/ap2的註冊流程，以及統計信息上報有關。sta1和sta2在進行業務通信前，管理報文依次經由ap1/ap2、switch、router，集中轉發至ac。具體的，以sta1為例，在認證前，sta1所有http/https/eap等管理報文都被ap1封裝成隧道報文，路由轉發到ac。portal認證方式下，ac為sta1推送認證頁面，sta1提交用戶名和密碼後，報文先到達ac，由ac解封裝隧道報文後，將報文轉發到portalserver。sta1與portalserver之間的交互報文需要在ac和ap上完成封裝和解封裝隧道報文。peap認證方式下，ap1將sta1的eap報文的目的mac修改為ac的mac後，封裝成隧道報文，然後路由轉發到ac，ac解封裝隧道報文後，將其中的信息封裝成radius報文，完成與aaaserver的交互。sta1與ac之間的eap交互報文需要在ac和ap1上完成封裝和解封裝隧道報文。sta1和sta2業務通信時，進行數據報文的交互。終端sta1與sta2之間的通信不經過ac，交互報文在區域網中數據鏈路層轉發，具體的，認證通過前，sta1發送到sta2的數據、sta2發送到sta1的數據均被丟棄；認證通過後，sta1發送到sta2的數據通過ap1將報文本地轉發，然後經過switch轉發到達ap2，最後由ap2將數據本地轉發給sta2。同理，sta2向sta1轉發數據類似。實施例三如圖6所示，以一個sta為例說明瘦ap架構下智能轉發模式終端portal 認證方式下報文轉發流程。首先對流程中涉及的設備作下簡單說明：sta：無線終端設備，關聯ap的無線服務後，先進行portal認證，認證通過後，才能訪問internet。ap：接收ac的配置信息，並且為sta提供服務。本地dhcpserver：sta的dhcp報文經ap本地轉發，報文到達本地dhcpserver，由該設備為sta分配ip地址。ac：給ap下發配置信息，並且強制sta推送portal頁面，與radius、portal交互，完成用戶認證。internet：廣域網絡，用戶在認證成功後才能訪問。radius：認證伺服器，該設備有認證、計費功能，通過與ac交互，完成對用戶的認證、計費。portalserver：門戶網站，獲得用戶的認證信息，並且上報給ac，在ac通知它用戶認證成功後，推送認證成功頁面。staportal認證的具體流程如下：s601，sta關聯ap的無線服務；s602，ap將sta上線信息上報給ac，ac下發接入控制配置信息允許該終端加入；其中，接入控制配置信息除了允許用戶加入的配置外，還包括用戶的認證狀態、虛擬ip地址等信息。s603，sta與本地dhcpserver交互，獲取ip地址；s604，sta訪問任意網絡，ap將該http請求報文封裝成隧道報文並路由轉發到ac；s605，ac回應重定向報文，要求sta訪問portal認證頁面；s606，sta訪問認證頁面，並提交用戶名和密碼等認證信息給portalserver；s607，portalserver將sta的認證信息上報給ac，並要求ac對該終端進行認證；s608，ac與radius交互，radius伺服器對sta的身份進行認證；s609，在完成認證後，radius將認證結果通知ac；s610，ac將認證結果通知portalserver；s611，portalserver推送認證結果頁面給sta；s612，如果認證成功，則sta將訪問internet的數據報文發送到ap；s613，ap將sta訪問internet的數據報文直接本地轉發到internet，並將接收的internet的回應報文本地轉發給sta；其目的在於，幫助radius實現對sta的計費；s614，ap周期性上報已認證用戶的流量給ac；s615，ac周期性上報已認證用戶的流量給radius。實施例四如圖7所示，以一個sta為例簡單說明瘦ap架構下智能轉發模式終端peap認證方式下的報文處理流程。由於peap認證的流程遵循標準的peap認證協議，所以本流程只將重點放在報文轉發的處理流程上，不再對peap認證的流程作詳細描述。首先對流程中涉及的設備作簡單說明：sta：無線終端設備，關聯ap的無線服務後，先進行peap認證，認證通過後，從本地dhcpserver獲取ip地址，然後訪問internet。ap：接收ac的配置信息，上報統計信息(流量統計、用戶上下線統計等等)給ac，並且為sta提供無線服務。dhcpserver：sta的dhcp報文經ap本地轉發，到達本地dhcpserver，由該設備為sta分配ip地址。ac：給ap下發配置信息，作為peap認證的認證點，與radius交互，完成用戶認證。internet：廣域網絡，用戶在認證成功後才能訪問。radius：該設備有認證、計費功能，通過與ac交互，完成對用戶的認證、計費。stapeap認證的具體流程如下：s701，sta關聯ap的無線服務；s702，sta發送eap-start給ac，請求開始802.1x認證；具體的，該報文先由sta發送到ap，ap將該報文封裝成隧道報文，然後發送到ac，由ac解封裝隧道報文。s703、sta通過ap與ac進行數據交互；具體的，涉及sta和ac之間關於用戶認證信息、加密算法協商、證書合法性認證、密鑰協商等流程，該交互流程應用現有技術，故本實施不做詳細說明。在該流程中所有的eap報文均被封裝成隧道報文：由sta發送到ac的eap報文，先由ap封裝成隧道報文，然後再發送到ac；由ac發送到sta的eap報文，先由ac把從radius接收的radius報文轉換成eap報文後，封裝成隧道報文，發送到ap，由ap解封裝隧道報文，最後將eap報文轉發給sta。s704，ac與radius進行數據交互；具體的，涉及ac和radius之間關於用戶認證信息、加密算法協商、證書合法性認證、密鑰協商等radius報文的交互，該交互流程應用現有技術，故本實施不做詳細說明。ac將接收的sta的eap隧道報文解封裝，然後，封裝成radius報文發送給radius，同時將從radius接收的radius報文解析出來，轉換成eap報文，然後封裝成隧道報文發送給ap。s705，ac將認證結果分別以隧道報文和capwap控制報文的形式發送給ap，ap對隧道報文進行解封裝並發送給sta；具體的，ac將認證結果以隧道報文的形式發送至ap，ap只是對這些隧道報文進行轉發，並不解析裡面的內容，ap並不知曉sta的認證結果。因此，在ac將認證結果以隧道報文的形式發送至ap的同時，也會以capwap控制報文的形式將sta的認證結果發送至ap，以保證ap知曉sta的認證結果。s706，sta在認證成功後，與dhcpserver進行dhcp交互，獲取ip地址；具體的，sta將dhcp報文發送給ap，ap直接本地轉發到dhcpserver，而dhcpserver回應給sta的dhcp報文發送到ap，由ap本地轉發給sta。s707，sta在認證成功後，就可以進行internet業務；ap將sta發送給internet的報文直接本地轉發到internet。internet發送給sta的報文也是由ap本地轉發給sta。s708，通過ap對sta的流量進行統計；具體的，ap周期性地將sta的流量統計上報給ac；s709，ac上報已認證用戶的流量統計給radius；具體的，ac周期性上報已認證用戶的流量統計給radius，以實現對sta的計費。顯然，本領域的技術人員應該明白，上述本發明的各模塊或各步驟可以用通用的計算裝置來實現，它們可以集中在單個的計算裝置上，或者分布在多個計算裝置所組成的網絡上，可選地，它們可以用計算裝置可執行的程序代碼來實現，從而，可以將它們存儲在存儲介質(rom/ram、磁碟、光碟)中由計算裝置來執行，並且在某些情況下，可以以不同於此處的順序執行所示出或描述的步驟，或者將它們分別製作成各個集成電路模塊，或者將它們中的多個模塊或步驟製作成單個集成電路模塊來實現。所以，本發明不限制於任何特定的硬體和軟體結合。以上內容是結合具體的實施方式對本發明所作的進一步詳細說明，不能認定本發明的具體實施只局限於這些說明。對於本發明所屬
技術領域：
：的普通技術人員來說，在不脫離本發明構思的前提下，還可以做出若干簡單推演或替換，都應當視為屬於本發明的保護範圍。當前第1頁12當前第1頁12