一种数据转发方法、无线接入点及通信系统与流程

本发明涉及通信
技术领域：
：，尤其涉及一种数据转发方法、无线接入点及通信系统。
背景技术：
：：自2002年瘦ap(wirelessaccesspoint，无线接入点)架构成为wlan(wirelesslocalareanetworks，无线局域网)业界新的趋势后，ac(wirelessaccesspointcontroller，无线控制器)+ap组网成为wlan系统中主流的组网模式。ac对系统中的所有ap进行统一配置和管理，并对系统中的用户执行认证、流量统计和强制下线等策略。在瘦ap架构中，ap和ac之间报文的交互使用capwap(controlandprovisioningofwirelessaccesspoints，无线接入点的控制和配置)协议。capwap协议是一种定义ac和ap之间控制报文和数据报文交互的框架性应用层协议，规定ac和ap之间采用udp(userdatagramprotocol，用户数据报协议)的c/s(client/server，客户机与服务器)模型进行交互。capwap报文分为控制报文和数据报文两种，控制报文主要用于ac和ap之间的流程性交互，如建链、配置下发、ac和ap之间保活、终端上下线、统计信息上报；数据报文主要用于用户数据的传输，ap对用户数据的转发以集中转发和本地转发两种转发模式最为常见。本地转发的基本思想是通过网桥的mac表(mediaaccesscontrol,介质访问控制)实现数据转发。当网桥接收到报文时，获得其接收端口和源mac地址，并将两者的对应关系添加到mac表中，然后以该报文的目的mac地址为关键字查询mac表，找到该mac对应的转发条目，进而获取该报文对应的出接口，并将报文由该接口发送出去。集中转发的基本思想是在用户所有报文的外层封装一层capwap隧道，因为该隧道的目的ip(internetprotocol，网络协议)是ac的ip地址，所以，所 有的报文均由ac集中处理，隧道报文到达ac后，ac将外层封装的隧道解封装，然后进行本地转发。capwap隧道封装顺序依次是：capwap隧道头、udp头、ip头、以太头。但是两种转发方式都存在各自的不足之处，本地转发主要存在以下不足：1)本地转发有应用的局限性，它仅适用于免认证、或者ap作认证点的wep(wiredequivalentprivacy，有线等效保密协议)、wpa/wpa2-psk(wi-fiprotectedaccess，wifi网络安全接入)、802.1x认证，对于目前应用比较广泛的、ac集中认证的portal(互联网门户)认证、802.1x等认证方式并不适用；2)由于所有的用户数据都经ap本地转发出去，因此，ac上很难准确地统计用户流量，从而影响用户计费。集中转发主要存在以下不足：1)ac和ap侧均需要增加对所有数据报文封装和解封装capwap隧道的处理流程，在一定程度上会降低报文的转发效率；2)数据报文外层封装capwap隧道，增加报文的载荷，降低数据报文的传输速率；并且封装隧道后的报文长度可能会大于发送接口的mtu(maximumtransmissionunit，最大通信单元)，导致报文分片，也同样会降低报文转发效率，影响系统性能；3)由于ac不仅需要对所有接收的隧道报文都要解封装隧道，还需要对发送到ap的所有报文都要封装隧道，因此，当关联用户数多、数据量大时，ac负荷增大，要求ac必须具备快速处理大量数据的能力，否则，容易出现丢包等问题，影响网络质量。技术实现要素：本发明要解决的主要技术问题是，提供一种数据转发方法、无线接入点及通信系统，以解决在进行用户数据转发时，无线控制器的负荷过大，从而降低数据转发效率和网络质量，同时也不方便对用户数据集中管理和控制，从而对用户流量无法准确统计的技术问题。为解决上述技术问题，本发明提供一种数据转发方法，包括：确认无线终端是否通过认证；若所述无线终端未通过认证，将所述无线终 端发送的管理数据报文以集中转发的方式上报至无线控制器进行认证；若所述无线终端通过认证，将所述无线终端发送的业务数据报文以本地转发的方式转发至网络。在本发明一种实施例中，在所述确认无线终端是否通过认证之后，还包括：若所述无线终端未通过认证，将所述无线终端发送的预设业务数据报文以本地转发的方式转发至网络。在本发明一种实施例中，在将所述无线终端发送的管理数据报文以集中转发的方式上报至无线控制器进行认证之后，还包括：若所述无线终端通过认证，将所述无线终端的参数信息进行统计并上报至所述无线控制器。在本发明一种实施例中，在将所述无线终端发送的管理数据报文以集中转发的方式上报至无线控制器进行认证之后，还包括：若所述无线终端通过认证，从本地动态主机配置协议服务器中获取所述无线终端的网络协议地址；将所述网络协议地址发送至所述无线控制器。在本发明一种实施例中，所述管理数据报文至少包括以下任意一项：超文本传输协议数据报文、安全套接层超文本传输协议数据报文、可扩展身份验证协议数据报文。在本发明一种实施例中，对所述无线终端的认证方式至少包括：门户认证和可扩展身份验证协议认证。进一步地，本发明还提供了一种无线接入点，包括：处理模块，用于确认无线终端是否通过认证；认证模块，用于若所述无线终端未通过认证，将所述无线终端发送的管理数据报文以集中转发的方式上报至无线控制器进行认证；第二转发模块，用于若所述无线终端通过认证，将所述无线终端发送的业务数据报文以本地转发的方式转发至网络。在本发明一种实施例中，还包括：第一转发模块，用于在处理模块确认无线终端是否通过认证之后，若所述无线终端未通过认证，将所述无线终端发送的预设业务数据报文以本地转发的方式转发至网络。在本发明一种实施例中，所述管理数据报文至少包括以下任意一项：超文本传输协议数据报文、安全套接层超文本传输协议数据报文、可扩展身份验证协议数据报文。进一步地，本发明还提供了一种通信系统，包括无线控制器、认证服务器以及如上所述的无线接入点；所述无线接入点在所述无线控制器上注册上线；所述无线控制器下发配置信息至所述无线接入点；所述无线接入点根据所述配置信息启动无线服务，并允许无线终端关联所述无线服务；所述无线接入点接收无线终端发送的管理数据报文并集中转发至所述无线控制器；所述无线控制器通过所述认证服务器对所述管理数据报文进行认证，并将认证结果下发至所述无线接入点。本发明的有益效果是：本发明提供了一种数据转发方法，包括：确认无线终端是否通过认证；若该无线终端未通过认证，则将无线终端发送的管理数据报文以集中转发的方式上报至无线控制器进行认证；若该无线终端通过认证，则将无线终端发送的业务数据报文以本地转发的方式转发至网络，从而实现接入用户数据的智能转发，即认证前管理数据报文集中转发、认证后业务数据报文本地转发，有效地弥补本地转发和集中转发两种数据转发方式的不足之处，将二者的优点有效地结合，在提高系统性能的同时也大大减少无线控制器和无线接入点之间数据报文的交互数量，进而减轻无线控制器的负荷，降低无线控制器的性能要求，提升数据转发效率，从而提升网络质量和用户体验。此外，本发明还提供了一种无线接入点，通过对无线终端的认证确定采用何种数据转发方式对数据进行转发；其开发周期短，实现方案简单，只需在无线接入点侧设置转发规则即可，该转发规则即为在无线终端认证前将管理数据报文集中转发至无线控制器，在无线终端认证后将业务数据报文本地转发至网络。附图说明图1为本发明实施例一提供的数据转发方法流程图；图2为本发明实施例一提供的sta关联ap无线服务的流程图；图3为本发明实施例二提供的无线接入点示意图；图4为本发明实施例二提供的通信系统示意图；图5为本发明实施例二提供的瘦ap架构下智能转发模式的数据交互示意 图；图6为本发明实施例三提供的瘦ap架构下portal认证流程图。图7为本发明实施例四提供的瘦ap架构下peap认证流程图。具体实施方式下面通过具体实施方式结合附图对本发明作进一步详细说明。实施例一本实施例提供一种数据转发方法，请参见图1，其具体处理步骤如下：s101，确认sta(station，无线终端)是否通过认证，若未通过认证，执行s102步骤，若通过认证，执行s103步骤；s102，将sta发送的管理数据报文以集中转发的方式上报至ac进行认证；s103，将sta发送的业务数据报文以本地转发的方式转发至网络。通过上述步骤的实施，以sta是否认证作为采用集中转发或者本地转发的衡量标准，智能的对数据报文进行转发，有效的减轻ac负荷，降低对ac的性能要求，进而提升数据转发效率和网络质量；此外，还降低应用的局限性，使其适用更多认证方式；同时，ap通过将统计数据(如用户流量)封装成capwap控制报文上报至ac，使得ac能也能准确的统计参数信息，从而不影响用户计费。其中，参数信息包括但不限于时间计费、流量计费、用户上下线统计。应当明白的是，在执行完s102步骤后，若sta认证通过，则直接执行s103步骤；若sta认证未通过，则继续执行s102，直到认证通过，执行s103步骤；或者sta结束认证。此外，上述数据报文包括但不限于管理数据报文和业务数据报文，下面将依次对管理数据报文和业务数据报文做出说明。管理数据报文至少包括以下任意一下：http(hypertexttransferprotocol，超文本传输协议)数据报文、https(hypertexttransferprotocoloversecuresocketlayer，安全套接层超文本传输协议)数据报文、eap(extensibleauthenticationprotocol，为可扩展身份验证协议)数据报文，主要用于对sta身份进行认证，在sta认证通过后，也会通过ap集中转发该管理数据报文，其目的在于，因为网络状况差、网络故障等原因导致sta在通过认证后掉线，通过ap将管理数据报文集中转发至ac重新 进行认证，以保证sta正常访问网络，或者便于访问认证服务器提供的本地信息(如本地视频、广告等)。业务数据报文主要用于sta数据的传输，通过数据的传输就可进行网络访问，也可以理解为进行网上冲浪；当然，部分业务数据报文用于方便用户记忆ip(internetprotocol，网络之间互连的协议)地址、对ip地址进行动态分配，如arp(addressresolutionprotocol，地址解析协议)数据报文、dns(domainnameservice，域名服务系统)数据报文、dhcp(dynamichostconfigurationprotocol，动态主机配置协议)数据报文等等。上述管理数据报文和业务数据报文仅是用于对本实施例进行解释，并不用于限定本发明，对于其他基于本发明方案的管理数据报文和业务数据报文同样属于本发明保护的范围。在s101步骤之前，即确认sta是否通过认证之前，还包括sta关联ap的无线服务的过程，以确定sta是否能正常接入ap，请参见图2，其具体过程如下：s201，ap遵循capwap协议在ac上注册上线；具体的，首先ap获取ip地址，该ip可以为静态也可为动态；然后找到所需的ac，与ac之间建立capwap隧道；ap向ac发送加入请求，ac根据ap发送的请求判断是否允许ap接入，并将判断结果下发至ap；ap允许被接入后，ac与ap之间通过keepalive(保活)报文和echo报文检测数据隧道和控制隧道的连通性，其中，keepalive报文标志数据隧道已建立，echo报文的出现，标志控制隧道已建立。至此，标志ap遵循capwap协议在ac成功注册上线。s202，ac下发配置信息至ap；具体的，ac与ap间的capwap隧道建立完毕，下发配置信息至ap，ap根据配置信息执行wlan业务。配置信息包括全局配置、射频配置、服务配置和用户接入控制配置，其中，全局配置包括周期性流量统计开关和上报周期；服务配置用于添加无线服务，无线服务的转发模式为智能本地转发，同时服务配置中设定了ipacl(accesscontrollist，访问控制列表)规则，该规则是指，指定目的ip为portal服务器ip地址的报文集中转发至ac，也即将发送至portal服务器的数据集中转发至ac进行处理；用户接入控制配置用于控制sta接入无线服务，具体请参见下文针对s204的详细说明。s203，根据ac下发的配置信息，启动无线服务；具体的，对服务配置中设定的规则进行应用，也即在ap中也配置ipacl规则，将发送至portal服务器的报文集中转发至ac进行集中处理。s204，sta关联该无线服务；具体的，sta可以是笔记本、手机，能够关联无线服务的sta均可应用于本发明保护的方案；在sta关联无线服务时，ap根据ac下发的用户接入控制配置确认sta是否可以关联无线服务。若可以关联无线服务，则进行网络访问；若不可以关联无线服务，则拒绝网络访问。在用户接入配置信息中，除了系统原有的配置外，增加了用户的认证状态(刚接入时配置为未认证)、虚拟ip地址(ac为该用户分配的，在portal认证方式时下发)等智能转发需要的配置信息。对于portal认证方式，请参见实施例三的相关分析，本实施例不做详细说明。进一步地，sta关联到ap的无线服务后，sta还未进行认证，ap根据ac下发的用户接入控制配置，将sta的管理数据报文的源ip地址修改为ac为其分配的虚拟ip地址，以建立ac与ap之间的通信。同时，ap配置管理数据报文和业务数据报文的ebtables转发规则：ap将管理数据报文集中转发到ac，将预设业务数据报文本地转发至网络，其他非预设业务数据报文丢弃，即不对其他业务数据报文进行转发。其中，预设业务数据报文为sta预先设定的可以进行本地转发的数据报文，包括但不限于arp(arp(addressresolutionprotocol，地址解析协议)报文、dns(domainnameservice，域名服务系统报文)、dhcp(dynamichostconfigurationprotocol，动态主机配置协议)报文，对于其他基于本发明构思的业务数据报文同样适用于本实施例，同样属于本发明的保护范围。通过ebtables转发规则，将未认证用户发送的预设管理数据报文以集中转发的方式上报至ac进行认证，将未认证用户的非预设业务数据报文丢弃，也可以理解为非预设的业务数据报文为非法数据报文，不具备访问网络的权限，因此直接将该数据报文丢弃。通过上述ebtables转发规则，在减轻ac数据处理负荷、提升数据转发效率的同时，也避免未认证用户访问internet，使得ac无法统计用户流量。对于ebtables转发规则，可以理解为在ap上设置一个数据转发规则，满足规则的数据正常转发，不满足的数据拒绝转发，从而提高数据转发效率，实现数据的智能转发。进一步地，在s101步骤中，ap通过capwap控制报文上报sta上线信息给ac，与ac进行交互，从而确定sta是否通过认证。进一步地，在s102步骤中，对sta进行认证的整体过程如下：sta发送认证信息至ap，ap将该认证信息上报至ac，ac根据认证信息验证该sta是否通过认证，并将认证结果下发至ap，ap再将认证结果转发至sta，若sta通过认证，则正常访问internet，若sta未通过认证，则重新进行认证，执行上述认证过程。其中，认证信息被携带在管理数据报文中，管理数据报文以集中转发的形式进行上报。对sta的认证方式包括但不限于portal认证和peap认证，对于其他基于本发明方案的认证方式同样可以应用于本发明。就portal认证和peap认证而言，二者认证的区别在于，portal认证先获取ip地址，再进行认证；而peap认证先进行认证，再获取ip地址。对于portal认证和peap认证过程，整体如下：portal认证中，sta先从本地dhcp服务器中获取ip地址，然后向internet发送http请求，ac强制在sta上弹出portal认证页面，sta在portal认证页面上填写用户名和密码等认证信息，portal认证页面将认证信息发送至ac，ac将认证信息转发至radius服务器，radius服务器对认证信息进行认证，并将认证结果发送至ac，ac将认证结果通知portal服务器和ap，最后portal服务器将认证结果推送给sta，使得sta确认是否认证成功；peap认证中，sta将eap报文(该报文中包含用户名、密码等信息)发送至ap，ap将eap报文封装成隧道报文并发送至ac，ac将隧道报文进行解析得到eap报文，将eap报文转换成radius报文并发送至radius服务器进行认证，radius服务器将认证结果发送至ac，ac将包含认证结果的radius报文转换成eap报文并封装成隧道报文下发至ap，ap对该隧道报文进行解析得到eap报文，将eap报文发送至sta，使得sta能够确认是否通过认证。值得注意的是，本实施例以portal认证和peap认证两种认证方式对本发明进行解释，但不用于限定本发明。对于上述两种认证方式具体请参见实施例三和实施例四，这里不再详细赘述。其中，实施例三针对portal认证，实施例四针对peap认证。进一步地，在s103步骤中，sta通过认证后，ap针对已认证sta的管理数据报文和业务数据报文设置ebtables/iptables转发规则，该转发规则为：sta的业务数据报文以本地转发的方式转发至internet，管理数据报文以集中转发的方式上报至ac，并通过iptables规则在转发链上开始统计用户流量。可以理解 为在ap上设置另一数据转发规则，只有满足设定规则，才能正常进行数据转发，若不满足则拒绝转发从而实现数据的智能转发。具体的，ebtables规则即为以太网桥防火墙规则，以太网桥工作在数据链路层，ebtables来过滤数据链路层数据包，对数据进行转发；iptables规则工作在网络层，主要用于对用户流量进行统计。此外，sta的mac地址作为源mac地址，其发送的业务数据报文以本地转发的方式转发至internet；上述管理数据报文是指eap管理数据报文和满足ipacl规则的管理数据报文，认证后将管理数据报文集中转发至ac的目的在于，便于访问认证服务器提供的本地信息(如本地视频、广告等)。进一步地，sta认证后，从本地dhcp服务器中获取ip地址，然后才能进行internet访问。与此同时，ap将sta获取的ip地址上报至ac，其目的在于，当sta在ap间漫游时，ac会将sta的真实ip地址下发至漫游后的ap，从而关联到漫游后的ap的无线服务。进一步地，ap会将已认证sta的流量进行统计并以capwap控制报文的形式上报至ac，以完成流量计费。当然，ap可以周期性的统计sta流量，再周期性的上报至ac；或者周期性的统计sta流量，然后直接上报至ac；或者不定期的统计sta流量进行上报，等等，只要将sta流量进行统计并上报至ac，都属于本发明保护的范围。对于其他sta进入该wlan系统后，遵照上一sta进行数据智能转发，当然，该sta直接关联ap无线服务并按照上述方式进行认证，就可进行internet访问。与现有wlan系统相比，本发明引入了一种新的报文转发模式，该转发模式解决了本地转发模式和集中转发模式两种转发模式的不足之处，实现了sta数据的智能转发，即认证前管理数据报文集中转发，认证后业务数据报文本地转发。本发明提供的方法，减少需要封装隧道报文的数量，减轻ac与ap的负荷，降低ac与ap的性能压力，提高数据转发效率，从而提升了网络质量和用户体验；同时，该智能转发方式对其应用范围也不存在较大的局限性。实施例二请参见图3，图3为本实施例提供的无线接入点示意图，该无线接入点包括：处理模块301，用于确认sta是否通过认证；认证模块302，用于若sta未通过认证，将sta发送的管理数据报文以集中转发的方式上报至ac进行认证；第二转发模块304，用于若sta通过认证，将sta发送的业务数据报文以本地转发的方式转发至网络。通过上述步骤的实施，以sta是否认证作为采用集中转发或者本地转发的衡量标准，智能的对数据报文进行转发，有效的减轻ac负荷，降低对ac的性能要求，进而提升数据转发效率和网络质量；此外，还降低应用的局限性，使其适用更多认证方式；同时，ap通过将统计数据(如用户流量)封装成capwap控制报文上报至ac，使得ac能也能准确的统计参数信息，从而不影响用户计费。其中，参数信息包括但不限于时间计费、流量计费、用户上下线统计。应当明白的是，在认证模块302将sta发送的管理数据报文以集中转发的方式上报至ac进行认证后，若sta认证通过，则直接通过第二转发模块304将sta发送的业务数据报文以本地转发的方式转发至网络；若sta认证未通过，则继续通过认证模块302对sta进行认证，直到认证通过，由第二转发模块304进行业务数据报文本地转发，或者sta结束认证。此外，上述数据报文包括但不限于管理数据报文和业务数据报文，下面将依次对管理数据报文和业务数据报文做出说明。管理数据报文至少包括包括以下任意一项：http(hypertexttransferprotocol，超文本传输协议)数据报文、https(hypertexttransferprotocoloversecuresocketlayer，安全套接层超文本传输协议)数据报文、eap(extensibleauthenticationprotocol，为可扩展身份验证协议)数据报文，主要用于对sta身份进行认证，在sta认证通过后，也会通过ap集中转发该管理数据报文，其目的在于，因为网络状况差、网络故障等原因导致sta在通过认证后掉线，通过ap将管理数据报文集中转发至ac重新进行认证，以保证sta正常访问网络，或者便于访问认证服务器提供的本地信息(如本地视频、广告等)。业务数据报文主要用于sta数据的传输，通过数据的传输就可进行网络访问，也可以理解为进行网上冲浪；当然，部分业务数据报文用于方便用户记忆ip(internetprotocol，网络之间互连的协议)地址、对ip地址进行动态分配，如arp(addressresolutionprotocol，地址解析协议)数据报文、dns(domainnameservice，域名服务系统)数据报文、dhcp(dynamichostconfigurationprotocol，动态主机配置协议)数据报文等等。上 述管理数据报文和业务数据报文仅是用于对本实施例进行解释，并不用于限定本发明，对于其他基于本发明方案的管理数据报文和业务数据报文同样属于本发明保护的范围。进一步地，还包括：第一转发模块303，用于在处理模块301确认无线终端是否通过认证之后，若所述无线终端未通过认证，将所述无线终端发送的预设业务数据报文以本地转发的方式转发至网络。需要注意的是，第一转发模块303与认证模块302的先后顺序本实施不做限定，二者可同时执行，也可先后执行。此外，上述实施例一中的方法可应用于本实施例提供的无线接入点，故本实施例不再对无线接入点部分模块做详细说明，具体内容请参见实施例一中的相关描述。进一步地，请参见图4，本实施例还提供了一种通信系统，包括：认证服务器41、无线控制器42以及如上述所述的无线接入点43；无线接入点43在无线控制器42上注册上线；无线控制器42下发配置信息至无线接入点43；无线接入点43根据配置信息启动无线服务，并允许无线终端关联该无线服务；无线接入点43接收无线终端发送的管理数据报文并集中转发至无线控制器42；无线控制器42通过认证服务器41对管理数据报文进行认证，并将认证结果下发至无线接入点43。其中，无线接入点43包括处理模块431、认证模块432和第二转发模块433，该无线接入点43。此外，本实施中的无线接入点43同样适用于上述图3中的无线接入点(未在附图中示出)，因此，本实施例不再对无线接入点43中各模块进行详细说明。具体的，请参见图5，本实施例将以同一ac下两个sta的数据交互为例，说明瘦ap架构下智能转发模式的数据交互过程。portal服务器：一个门户网站，为需要portal认证的关联用户sta1、sta2推送portal认证页面，收集用户认证信息。并与ac通过portal协议交互，将用户认证信息上报给ac。在用户认证结束后，ac将用户认证结果反馈给它，根据结果，它给用户sta1、sta2推送相应的认证成功或者失败的页面。ac(无线控制器)：负责对ap1、ap2进行统一管理，包括配置下发、用户管理、信息统计等等，其中，ac配置ap1、ap2无线服务的数据转发模式为智能本地转发。portal认证时，实现用户强制portal，业务控制，接收portalserver发起的认证请求，与认证服务器交互，完成用户认证功能。peap认证时，通过 eap报文与sta1、sta2交互，获取用户认证信息，与认证服务器aaaserver交互，完成用户认证功能。认证通过后，ac周期性地将终端sta1、sta2的流量统计信息上报给aaaserver，实现计费。aaaserver(3a认证服务器)：负责用户认证、计费。它与ac之间使用radius协议进行交互，完成对用户的身份认证、计费功能：认证结束后，将sta1/sta2认证结果通知ac，ac周期性地将终端sta1、sta2的流量统计信息上报它，它来实现对这两个终端的计费。同时，它还接收ac的用户上下线请求，触发认证和计费流程的开始或者结束。router(路由器):工作在网络层，具有连接不同类型网络的功能，将ac所在的广域网和ap1/ap2所在的局域网连接起来，并且它根据目的ip地址，通过查询路由缓存和路由表，选择合适的转发路径，实现对设备各个端口接收到的报文的转发。该设备开启dhcprelay功能，通过在switch(交换机)上划分vlan(virtuallocalareanetwork，虚拟局域网)，保证ap1、ap2的ip地址由ac分配。ac和ap1/ap2之间的capwap控制报文，以及sta1、sta2的隧道报文都经该设备路由转发。switch(交换机):工作在局域网中，将ap、ap、localdhcpserver连接起来，形成一个局域网。它根据报文的目的mac，查询mac表，找到该目的mac对应的出端口，由该端口将报文发送出去，从而实现报文在端口之间的转发。在智能转发模式下，该设备主要转发ac和ap1/ap2间的capwap控制报文，以及sta1与sta2之间的数据报文。localdhcpserver(本地dhcp服务器):本地的dhcp服务器，它负责为本地的dhcp客户端分配ip地址。当sta1、sta2的dhcp报文分别通过ap1、ap2本地转发在局域网内广播，该设备会响应dhcp请求，为sta1、sta2分别分配ip地址。ap1(无线接入点1)，该设备注册到ac，由ac对其执行配置下发(全局配置、射频配置和服务配置)和用户接入控制，终端设备sta1可以关联该ap的无线服务。该设备可以将sta1的上下线信息上报给ac。需要注意的是，ap2(无线接入点2)与ap1类似，故这里不再重复。sta1(无线终端1)，关联ap1的无线服务，在认证前，该终端所有的http/https/eap报文(管理报文)都由ap1在外层封装隧道报文，路由转发 到ac，由ac解封装后进行转发；在认证前，该终端所有的arp/dhcp/dns报文(数据报文)均由ap1本地转发出去，由localdhcpserver为sta1分配ip地址。在认证通过后，除了发送到特定ip地址(ac下发的acl配置指定)如portal服务器地址的任何报文和sta1的eap报文集中转发外，其他报文均由ap1本地转发出去。具体的，发送到sta2的数据通过ap1本地转发，然后经过switch转发到达ap2，最后由ap2将数据本地转发给sta2。需要注意的是，sta2(无线终端2)与sta1类似，故这里不再重复。在图5中，ac和ap1、ap2间进行capwap控制报文交互，该类管理报文中以ac的ip地址为源ip，ap1/ap2的ip地址为目的ip的请求报文，主要用于ac对ap1、ap2下发一系列配置信息，包括全局配置、射频配置、服务配置；以ap1/ap2的ip地址为源ip，ac的ip地址为目的ip的请求报文，主要与ap1/ap2的注册流程，以及统计信息上报有关。sta1和sta2在进行业务通信前，管理报文依次经由ap1/ap2、switch、router，集中转发至ac。具体的，以sta1为例，在认证前，sta1所有http/https/eap等管理报文都被ap1封装成隧道报文，路由转发到ac。portal认证方式下，ac为sta1推送认证页面，sta1提交用户名和密码后，报文先到达ac，由ac解封装隧道报文后，将报文转发到portalserver。sta1与portalserver之间的交互报文需要在ac和ap上完成封装和解封装隧道报文。peap认证方式下，ap1将sta1的eap报文的目的mac修改为ac的mac后，封装成隧道报文，然后路由转发到ac，ac解封装隧道报文后，将其中的信息封装成radius报文，完成与aaaserver的交互。sta1与ac之间的eap交互报文需要在ac和ap1上完成封装和解封装隧道报文。sta1和sta2业务通信时，进行数据报文的交互。终端sta1与sta2之间的通信不经过ac，交互报文在局域网中数据链路层转发，具体的，认证通过前，sta1发送到sta2的数据、sta2发送到sta1的数据均被丢弃；认证通过后，sta1发送到sta2的数据通过ap1将报文本地转发，然后经过switch转发到达ap2，最后由ap2将数据本地转发给sta2。同理，sta2向sta1转发数据类似。实施例三如图6所示，以一个sta为例说明瘦ap架构下智能转发模式终端portal 认证方式下报文转发流程。首先对流程中涉及的设备作下简单说明：sta：无线终端设备，关联ap的无线服务后，先进行portal认证，认证通过后，才能访问internet。ap：接收ac的配置信息，并且为sta提供服务。本地dhcpserver：sta的dhcp报文经ap本地转发，报文到达本地dhcpserver，由该设备为sta分配ip地址。ac：给ap下发配置信息，并且强制sta推送portal页面，与radius、portal交互，完成用户认证。internet：广域网络，用户在认证成功后才能访问。radius：认证服务器，该设备有认证、计费功能，通过与ac交互，完成对用户的认证、计费。portalserver：门户网站，获得用户的认证信息，并且上报给ac，在ac通知它用户认证成功后，推送认证成功页面。staportal认证的具体流程如下：s601，sta关联ap的无线服务；s602，ap将sta上线信息上报给ac，ac下发接入控制配置信息允许该终端加入；其中，接入控制配置信息除了允许用户加入的配置外，还包括用户的认证状态、虚拟ip地址等信息。s603，sta与本地dhcpserver交互，获取ip地址；s604，sta访问任意网络，ap将该http请求报文封装成隧道报文并路由转发到ac；s605，ac回应重定向报文，要求sta访问portal认证页面；s606，sta访问认证页面，并提交用户名和密码等认证信息给portalserver；s607，portalserver将sta的认证信息上报给ac，并要求ac对该终端进行认证；s608，ac与radius交互，radius服务器对sta的身份进行认证；s609，在完成认证后，radius将认证结果通知ac；s610，ac将认证结果通知portalserver；s611，portalserver推送认证结果页面给sta；s612，如果认证成功，则sta将访问internet的数据报文发送到ap；s613，ap将sta访问internet的数据报文直接本地转发到internet，并将接收的internet的回应报文本地转发给sta；其目的在于，帮助radius实现对sta的计费；s614，ap周期性上报已认证用户的流量给ac；s615，ac周期性上报已认证用户的流量给radius。实施例四如图7所示，以一个sta为例简单说明瘦ap架构下智能转发模式终端peap认证方式下的报文处理流程。由于peap认证的流程遵循标准的peap认证协议，所以本流程只将重点放在报文转发的处理流程上，不再对peap认证的流程作详细描述。首先对流程中涉及的设备作简单说明：sta：无线终端设备，关联ap的无线服务后，先进行peap认证，认证通过后，从本地dhcpserver获取ip地址，然后访问internet。ap：接收ac的配置信息，上报统计信息(流量统计、用户上下线统计等等)给ac，并且为sta提供无线服务。dhcpserver：sta的dhcp报文经ap本地转发，到达本地dhcpserver，由该设备为sta分配ip地址。ac：给ap下发配置信息，作为peap认证的认证点，与radius交互，完成用户认证。internet：广域网络，用户在认证成功后才能访问。radius：该设备有认证、计费功能，通过与ac交互，完成对用户的认证、计费。stapeap认证的具体流程如下：s701，sta关联ap的无线服务；s702，sta发送eap-start给ac，请求开始802.1x认证；具体的，该报文先由sta发送到ap，ap将该报文封装成隧道报文，然后发送到ac，由ac解封装隧道报文。s703、sta通过ap与ac进行数据交互；具体的，涉及sta和ac之间关于用户认证信息、加密算法协商、证书合法性认证、密钥协商等流程，该交互流程应用现有技术，故本实施不做详细说明。在该流程中所有的eap报文均被封装成隧道报文：由sta发送到ac的eap报文，先由ap封装成隧道报文，然后再发送到ac；由ac发送到sta的eap报文，先由ac把从radius接收的radius报文转换成eap报文后，封装成隧道报文，发送到ap，由ap解封装隧道报文，最后将eap报文转发给sta。s704，ac与radius进行数据交互；具体的，涉及ac和radius之间关于用户认证信息、加密算法协商、证书合法性认证、密钥协商等radius报文的交互，该交互流程应用现有技术，故本实施不做详细说明。ac将接收的sta的eap隧道报文解封装，然后，封装成radius报文发送给radius，同时将从radius接收的radius报文解析出来，转换成eap报文，然后封装成隧道报文发送给ap。s705，ac将认证结果分别以隧道报文和capwap控制报文的形式发送给ap，ap对隧道报文进行解封装并发送给sta；具体的，ac将认证结果以隧道报文的形式发送至ap，ap只是对这些隧道报文进行转发，并不解析里面的内容，ap并不知晓sta的认证结果。因此，在ac将认证结果以隧道报文的形式发送至ap的同时，也会以capwap控制报文的形式将sta的认证结果发送至ap，以保证ap知晓sta的认证结果。s706，sta在认证成功后，与dhcpserver进行dhcp交互，获取ip地址；具体的，sta将dhcp报文发送给ap，ap直接本地转发到dhcpserver，而dhcpserver回应给sta的dhcp报文发送到ap，由ap本地转发给sta。s707，sta在认证成功后，就可以进行internet业务；ap将sta发送给internet的报文直接本地转发到internet。internet发送给sta的报文也是由ap本地转发给sta。s708，通过ap对sta的流量进行统计；具体的，ap周期性地将sta的流量统计上报给ac；s709，ac上报已认证用户的流量统计给radius；具体的，ac周期性上报已认证用户的流量统计给radius，以实现对sta的计费。显然，本领域的技术人员应该明白，上述本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储介质(rom/ram、磁碟、光盘)中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。所以，本发明不限制于任何特定的硬件和软件结合。以上内容是结合具体的实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属
技术领域：
：的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。当前第1页12当前第1页12