一种AP接入控制方法和装置与流程

本申请涉及网络技术，特别涉及一种ap(accesspoint，接入点)接入控制方法和装置。

背景技术：

wlan(wirelesslocalareanetworks，无线局域网)系统包括两个主要部分，一个是ap，一个是ac(accesspointcontroller，接入控制器)。ap可以与ac建立连接(即ap上线)，由ac对ap进行管理，例如，ac可以向ap下发一些接入配置(比如，ssid(servicesetidentifier，服务集标识)信息、加密方式等)。当将ac部署在云端时，该ac可以称为“云ac”，相关技术中，云ac可以是一个ac池，该ac池中可以包括多个用于连接ap的ac，ap可以通过internet与云ac中的ac之间交互进行连接。当前的云ac，每个ac可以占用一个公网ip地址，云端大量ac的存在将对公网ip资源造成很大浪费。

技术实现要素：

有鉴于此，本申请提供一种ap接入控制方法和装置，以节省云ac中的ac数量较多时对公网ip地址资源的占用。

具体地，本申请是通过如下技术方案实现的：

第一方面，提供一种ap接入控制方法，所述方法应用于云ac中的主控ac，所述云ac还包括：分别与所述主控ac连接的至少一个内部ac；所述方法包括：

接收ap发送的发现请求报文，并根据预定规则为所述ap分配ac；

当分配的ac是内部ac时，向所述ap返回携带所述主控ac为所述内部ac分配的代理端口号以及所述主控ac的公网ip地址的发现响应报文；

接收所述ap发送的连接请求报文，所述连接请求报文中包括：所述代理端口号以及所述公网ip地址；

根据地址转换表项，将所述连接请求报文中的代理端口号替换为所述内部ac的接入端口号，将所述公网ip地址替换为所述内部ac的私网ip地址后转发给所述内部ac，以使得所述内部ac根据接收到的连接请求报文与所述ap建立连接。

第二方面，提供一种ap接入控制装置，所述ap接入控制装置应用于云ac中的主控ac，所述云ac还包括：分别与所述主控ac连接的至少一个内部ac；所述装置包括：

发现接收模块，用于接收ap发送的发现请求报文，并根据预定规则为所述ap分配ac；

响应发送模块，用于当分配的ac是内部ac时，向所述ap返回携带所述主控ac为所述内部ac分配的代理端口号以及所述主控ac的公网ip地址的发现响应报文；

连接接收模块，用于接收所述ap发送的连接请求报文，所述连接请求报文中包括：所述代理端口号以及所述公网ip地址；

地址转换模块，用于将所述连接请求报文中的代理端口号替换为所述内部ac的接入端口号，将所述公网ip地址替换为所述内部ac的私网ip地址后转发给所述内部ac，以使得所述内部ac根据接收到的连接请求报文与所述ap建立连接。

本申请提供的ap接入控制方法和装置，通过将云ac设置为主控ac和内部ac连接的架构，并且只有主控ac占用公网ip地址，内部ac使用私网ip即可，由主控ac转发ap的连接请求给内部ac，这种方式相当于将内部ac都隐藏在云ac内部，云ac对外通过主控ac与外部网络交互，云ac只占用一个公网ip即可，不论内部ac的数量多少，不会增加对公网ip资源的占用，从而节省了ip地址资源。

附图说明

图1是本申请一示例性实施例示出的一种云ac的部署结构图；

图2是本申请一示例性实施例示出的一种ap接入控制方法的流程图；

图3是本申请一示例性实施例示出的一种报文的隧道转发示意图；

图4是本申请一示例性实施例示出的一种主控ac的硬件结构图；

图5是本申请一示例性实施例示出的一种ap接入控制装置的结构图；

图6是本申请一示例性实施例示出的一种ap接入控制装置的结构图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在云端部署的ac称为云ac，ap需要通过internet与云ac连接。如图1示例的架构，数据中心11中可以设置：云ac12和认证服务器13，其中，认证服务器13可以包括aaa服务器131、portal服务器132等。ap可以通过internet和网关与云ac12连接，例如，如图1示例，ap14和ap15连接在网关16上，ap17连接网关18，网关16和网关18都通过internet19连接云ac12，从而ap14、ap15和ap17也可以通过各自连接的网关及internet19与云ac12连接。

本例子中，云ac12中可以包括：主控ac(anchorac)121、以及至少一个内部ac(innerac)，例如，内部ac122、内部ac123和内部ac124，当然，该云ac12中可以包括更多数量的内部ac。各内部ac可以分别与主控ac121、以及认证服务器13连接。

为了节省云ac中的ac数量较多时对公网ip地址资源的占用，本例子中，可以设置云ac中的主控ac121占用一个公网ip地址，而各个内部ac并不占用公网ip，内部ac具有私网ip地址，其可以通过该私网ip地址与主控ac或认证服务器之间进行交互。因此，在云ac中，不论内部ac的数量的多少，都只占用一个公网ip地址。

图2示例了ap接入控制方法的流程图，该方法可以由云ac中的主控ac执行，如图2所示，该方法可以包括：

步骤201，接收ap发送的发现请求报文，并根据预定规则为ap分配ac。

本例子中，所有ap可以在出厂时均预置主控ac的域名或ip地址。以预置域名为例，例如图1中的ap14可以通过预置在设备内部的主控ac121的域名，经dns服务器查找得到主控ac121的ip地址，即主控ac121的公网ip地址。ap14可以根据主控ac121的ip地址，向主控ac121发送发现请求报文(discoveryrequestmessage)。

主控ac121在接收到上述发现请求报文后，可以为ap14分配ac，所分配的ac可以是其中一个内部ac，或者也可以是主控ac本身。其中，不论是主控ac或者内部ac可以都使用端口号标识，主控ac121在接收到发现请求报文时，可以根据ap14的信息运行哈希算法得到一个端口号，并选择该端口号对应的主控ac或者内部ac，分配给ap14，使之与ap14建立连接。

本例子中，主控ac121可以为连接的每一个内部ac分配一个代理端口号，不同的内部ac具有不同的代理端口号。该代理端口号的分配方式不做限制，比如可以随机分配，或者也可以递增分配等。主控ac121可以将内部ac的私网ip地址、内部ac的接入端口号(即与ap交互的协议端口号，内部ac可以监听该内部端口号等待ap连接)、以及内部ac的代理端口号之间的对应关系，存储在主控ac121的地址转换表项中。如下表1，示例了一种主控ac121上的地址转换表项：

表1主控ac的地址转换表项

主控ac121上可以存储每个内部ac的上述对应关系，并在接收到ap14发送的发现请求报文时，根据预定规则由多个内部ac中选择一个内部ac分配给ap14。主控ac121为ap14分配内部ac时，所依据的预定规则可以有多种，本例子不做限制，例如，可以根据ap14的ap标识(该标识可以是ap名称)，执行哈希得到所述代理端口号，并将哈希得到的该代理端口号对应的内部ac分配给ap14。或者，根据ap14的ip地址进行哈希得到代理端口号，选择该代理端口号对应的内部ac；又或者，还可以根据预先在主控ac121上配置的ap14与ac的对应关系，确定出ap14对应的ac，即可以是根据业务需要，指定将某个ap分配在某个ac下，比如，将ap与一个内部ac对应，或者与主控ac对应。

本例子中，假设主控ac根据预定规则为ap选择的ac是内部ac，则继续执行步骤202。

步骤202，当分配的ac是内部ac时，向所述ap返回携带所述主控ac为所述内部ac分配的代理端口号以及所述主控ac的公网ip地址的发现响应报文。

例如，主控ac121在接收到上述发现请求报文后，可以向ap14返回一个发现响应报文(discoveryresponsemessage)，在该响应报文中携带：主控ac121的公网ip地址、以及在步骤201中为ap14分配的内部ac对应的代理端口号。

步骤203，接收ap发送的连接请求报文，所述连接请求报文包括：所述内部ac的代理端口号、以及所述公网ip地址。

本例子中，ap14在接收到主控ac121发送的发现响应报文时，可以根据发现响应报文中包括的主控ac121的ip地址向主控ac121发送连接请求报文，报文中携带前述的发现响应报文中包括的内部ac的代理端口号，以与该代理端口号对应的内部ac建立连接。

步骤204，根据地址转换表项，将所述连接请求报文中的代理端口号替换为所述内部ac的接入端口号，将所述公网ip地址替换为所述内部ac的私网ip地址后转发给所述内部ac，以使得所述内部ac根据接收到的连接请求报文与所述ap建立连接。

例如，主控ac121接收到ap14发送的连接请求报文后，可以依据主控ac121存储的地址转换表项，将连接请求报文中携带的代理端口号替换为对应内部ac的接入端口号，可以通过查询本地的地址转换表项得到代理端口号对应的接入端口号；还可以将连接请求报文中的主控ac121的公网ip地址替换为对应内部ac的私网ip地址，该私网ip地址也可以通过本地的地址转换表项得到代理端口号对应的私网ip地址。

在进行上述转换后，主控ac121可以将转换后的连接请求报文转发给对应的内部ac，以使得对应的内部ac根据收到的连接请求报文与ap14建立连接。例如，相应的内部ac收到前述连接请求报文后，可以按照常规流程与ap14建立连接。

本例子的ap接入控制方法，通过将云ac设置为主控ac和内部ac连接的架构，并且只有主控ac占用公网ip地址，内部ac使用私网ip即可，由主控ac转发ap的连接请求给内部ac，这种方式相当于将内部ac都隐藏在云ac内部，云ac对外通过主控ac与外部网络交互，云ac只占用一个公网ip即可，不论内部ac的数量多少，不会增加对公网ip资源的占用，从而节省了ip地址资源。

上述方式中，云ac内部的各个内部ac共享相同的ip地址即主控ac的公网ip地址，并且，主控ac可以通过为各个内部ac分配不同的代理端口号，将不同的内部ac通过不同的代理端口号进行区分，这种方式可以使得云ac内部的内部ac的数量可以无限扩充，不论内部ac的数量增加多少，主控ac只要通过不同的代理端口号区分即可，对内部ac的管理也非常方便。

此外，主控ac不仅可以为ap分配内部ac，并转发ap与内部ac之间的交互报文，并且，该主控ac本身也可以与ap建立连接。例如，当主控ac在步骤201中根据预定规则为ap分配ac时(例如，根据预设的对应关系分配，或者通过哈希算法分配)，如果得到的端口号是主控ac自身的接入端口号，则主控ac可以在向ap返回的发现响应报文中携带主控ac自身的接入端口号，这样该ap可以根据该接入端口号直接向主控ac发送携带主控ac的接入端口号的连接请求报文。主控ac在接收到该连接请求报文后，也不需要执行上述相关转换操作，与该ap建立连接即可。

ap与云ac(内部ac或主控ac)建立连接后，ap的下线过程按照常规流程执行，不再详述。ap与云ac连接后，ap可以转发用户的认证报文和数据报文。其中，数据报文的转发时，可以使用云端认证本地转发的方式，即用户的数据流量可以在ap转发。而认证报文的转发时，如果认证服务器和内部ac位于同一内网，则内部ac与认证服务器(例如，aaa服务器、portal服务器)的交互可以直接用私网ip。

而当内部ac与认证服务器不在同一内网时，可以在认证服务器所在的内网额外部署一台主控ac，与云ac的主控ac之间建立vpn(virtualprivatenetwork，虚拟专用网络)隧道，通过该vpn隧道，转发所述内部ac与认证服务器之间的认证报文。例如参见图3所示，认证服务器所在的内网部署的主控ac31，可以分别与各个认证服务器(例如，aaa服务器32和portal服务器33)连接，该主控ac31可以与云ac中的主控ac121建立vpn隧道，通过该vpn隧道，内部ac可以与认证服务器之间进行交互。

与前述ap接入控制方法的实施例相对应，本申请还提供了ap接入控制装置的实施例。

本申请ap接入控制装置的实施例可以应用在云ac中的主控ac上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在的主控ac的处理器将非易失性存储器中对应的计算机程序指令(即，执行上述方法的指令)读取到内存中运行形成的。从硬件层面而言，如图4所示，为本申请ap接入控制装置所在的主控ac的一种硬件结构图，除了图4所示的处理器41、内存42、网络接口43、以及非易失性存储器44之外，实施例中装置所在的主控ac通常根据该主控ac的实际功能，还可以包括其他硬件，对此不再赘述。

请参考图5，ap接入控制装置可以包括：发现接收模块51、响应发送模块52、连接接收模块53和地址转换模块54。

发现接收模块51，用于接收ap发送的发现请求报文，并根据预定规则为所述ap分配ac；

响应发送模块52，用于当分配的ac是内部ac时，向所述ap返回携带所述主控ac为所述内部ac分配的代理端口号以及所述主控ac的公网ip地址的发现响应报文；

连接接收模块53，用于接收所述ap发送的连接请求报文，所述连接请求报文中包括：所述代理端口号以及所述公网ip地址；

地址转换模块54，用于将所述连接请求报文中的代理端口号替换为所述内部ac的接入端口号，将所述公网ip地址替换为所述内部ac的私网ip地址后转发给所述内部ac，以使得所述内部ac根据接收到的连接请求报文与所述ap建立连接。

在一个例子中，发现接收模块51，具体用于：根据所述ap的ip地址或者ap标识，执行哈希得到端口号，将哈希得到的所述端口号对应的ac分配给所述ap，所述端口号对应的ac为所述内部ac或者所述主控ac；或者，根据预先在所述主控ac上配置的ap与ac的对应关系，确定所述ap对应的ac。

在一个例子中，参见图6所示，该装置还可以包括：ac管理模块55，用于：为连接所述主控ac的至少一个内部ac，分别分配对应的代理端口号；将每个内部ac的私网ip地址、接入端口号、代理端口号的对应关系，存储在所述地址转换表项中。

在一个例子中，响应发送模块52，还用于：在当分配的ac是所述主控ac时，向所述ap返回携带所述主控ac的接入端口号的发现响应报文。该装置还可以包括连接处理模块56，用于：在接收到携带有所述主控ac的接入端口号的连接请求报文时，与所述ap建立连接。

在一个例子中，该装置还可以包括：隧道转发模块57，用于与认证服务器连接的主控ac，建立虚拟专用网络vpn隧道；通过所述vpn隧道，转发所述内部ac与认证服务器之间的认证报文。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。