用于融合的有线/无线企业网体系结构的方法和装置与流程

本申请是申请日为2012年5月30日、申请号为201210174345.X、发明名称为“用于融合的有线/无线企业网体系结构的方法和装置”的中国发明专利申请的分案申请。

相关申请的交叉引用

本申请涉及如下申请：于2001年10月4日提交的、名称为“Methods and Apparatus for Enforcing a Common User Policy within a Network”的未决美国专利申请No._____13/252，856；于2001年10月4日提交的、名称为“Methods and Apparatus for Centralized Management of Access and Aggregation network Infrastructure”的美国专利申请No._____13/252，860；于2001年10月4日提交的、名称为“Methods and Apparatus for a Scalable Network with Efficient Link Utilization”的美国专利申请No.______13/252，857；于2001年10月4日提交的、名称为“Methods and Apparatus for a Self-organized Layer-2Enterprise Network Architecture”的美国专利申请No._____13/252，854；它们每个都以引用的方式全部并入本申请。

技术领域

这里描述的一些实施例一般涉及企业网，并且，尤其是，涉及用于将有线和无线网络融合进一个统一企业网体系结构的方法和装置。

背景技术：

一些已知的企业网分别管理有线会话和无线会话，这样导致有线业务和无线业务在企业网中分别转发。但是，在企业网中有线和无线业务的分离导致了低效和复杂性增大，比如为有线和无线网络复制基于用户的策略应用和服务。同样，维持跨越有线和无线网络的用户策略之间的连贯性也是一项挑战。

一些其它已知的企业网一起处置有线和无线业务，靠的是在将无线会话包传送给接入交换机之前在无线接入点将无线会话包(比如IEEE 802.11包)转换为有线会话包(比如以太网包)。虽然，这种转换方法导致了用于部分有线业务和无线业务的统一数据路径，但是它并没有为有线和无线企业网用户提供融合的策略增强或服务。

因此，存在这样的需要：具有基于用户身份访问信息和服务的融合的有线/无线企业网体系结构。

技术实现要素：

在一些实施例中，装置包含企业网体系结构内的核心网络节点和控制模块。核心网络节点被设定为与有线网络节点集合和无线网络节点集合可操作地连接。核心网络节点被设定为接收与来自有线网络节点集合中的有线网络节点的第一会话相关的第一隧道化包。核心网络节点还被设定为，通过有线网络节点集合的中介有线网络节点，接收与来自无线网络节点集合中的无线网络节点的第二会话相关的第二隧道化包。控制模块与核心网络节点可操作地连接。控制模块被设定为管理第一会话和第二会话，以及有线网络节点集合和无线网络节点集合。

在一些实施例中，一种装置包括核心网络节点，被设定为与多个有线网络节点和多个无线网络节点可操作地连接，所述核心网络节点是包括处理器的交换装置，所述核心网络节点被设定为接收与来自所述多个有线网络节点中的有线网络节点的有线通信会话相关的第一隧道化包，所述核心网络节点被设定为通过所述多个有线网络节点中的中介有线网络节点，接收与来自所述多个无线网络节点中的无线网络节点的无线通信会话相关的第二隧道化包；以及所述处理器的控制器，所述控制器在操作时管理所述有线通信会话和所述无线通信会话，所述有线通信会话在第一时间与用户通信装置相关，所述无线通信会话在第二时间与所述用户通信装置相关，所述控制器被设定为将共有下行用户策略应用到所述有线通信会话和所述无线通信会话，并且将共有上行用户策略发送给所述有线网络节点和所述无线网络节点中的接入网络节点。

在一些实施例中，所述有线通信会话与有线用户通信装置相关，所述无线通信会话与无线用户通信装置相关。

在一些实施例中，所述第一隧道化包与所述核心网络节点、所述多个有线网络节点中的汇聚网络节点、以及所述多个有线网络节点中的接入网络节点之间的多协议标签交换MPLS隧道相关，所述第二隧道化包与所述核心网络节点、所述多个有线网络节点中的汇聚网络节点、所述多个有线网络节点中的接入网络节点、以及所述多个无线网络节点中的无线接入点之间的MPLS隧道相关。

在一些实施例中，所述第一隧道化包与所述核心网络节点、所述多个有线网络节点中的汇聚网络节点、以及所述多个有线网络节点中的接入网络节点之间的第三层隧道相关，所述第二隧道化包与所述核心网络节点、所述多个有线网络节点中的汇聚网络节点、所述多个有线网络节点中的接入网络节点、以及所述多个无线网络节点中的无线接入点之间的第三层隧道相关。

在一些实施例中，所述第一隧道化包和所述第二隧道化包每个都与所述核心网络节点和有线网络节点之间的共有隧道相关。

在一些实施例中，所述第一隧道化包和所述第二隧道化包每个都与所述核心网络节点和有线网络节点之间的共有隧道相关，所述第一隧道化包与连接到所述有线网络节点的有线通信装置相关，所述第二隧道化包与连接到与所述有线网络节点连接的无线网络节点的无线通信装置相关。

在一些实施例中，一种装置包括无线接入点。无线接入点包括存储器和处理器，所述无线接入点被设定为与无线通信装置和与多个有线网络节点可操作地连接的核心网络节点可操作地连接，所述无线接入点在操作时从所述无线通信装置向核心网络节点转发与无线会话相关的隧道化包，从而使(1)所述核心网络节点的控制器管理无线会话和与所述多个有线网络节点中的至少一个有线网络节点相关的有线会话，以及(2)所述核心网络节点的所述控制器将共有下行用户策略和共有上行用户策略应用到所述有线会话和所述无线会话，所述核心网络节点是交换装置。所述有线会话在第一时间与用户通信装置相关，所述无线会话在第二时间与所述用户通信装置相关，并且所述控制器被设定为将共有用户策略应用到所述有线会话和所述无线会话。

在一些实施例中，一种装置包括有线网络节点。所述有线网络节点包括存储器和处理器，所述有线网络节点被设定为同与无线通信装置可操作地连接的无线接入点可操作地连接，所述有线网络节点被设定为同与多个有线网络节点可操作地连接的核心网络节点可操作地连接，所述核心网络节点是交换装置。所述有线网络节点在操作时将与无线会话相关的和与从所述无线接入点接收的包相关的隧道化包发送给所述核心网络节点，从而所述核心网络节点的控制器管理所述无线会话并且将共有下行用户策略应用到所述有线会话和所述无线会话。所述有线网络节点在操作时将与有线会话相关的隧道化包发送给所述核心网络节点，从而使所述核心网络节点的所述控制器管理所述有线会话。所述有线网络节点在操作并作为接入网络节点时将共有上行用户策略应用到所述有线会话和所述无线会话。

在一些实施例中，有线网络节点是接入网络节点，所述接入网络节点被设定为，通过所述多个有线网络节点中的中介汇聚网络节点，将与无线会话相关的隧道化包和与有线会话相关的隧道化包发送给核心网络节点，所述接入网络节点被设定为接收与来自无线接入点的无线会话相关的包，与所述无线会话相关的隧道化包在接入网络节点和核心网络节点之间被隧道化。

在一些实施例中，有线网络节点是接入网络节点，所述接入网络节点被设定为，通过所述多个有线网络节点中的中介汇聚网络节点，将与无线会话相关的隧道化包和与有线会话相关的隧道化包发送给核心网络节点，所述接入网络节点被设定为接收来自无线接入点的包，与无线会话相关的隧道化包是从无线接入点接收的包，与无线会话相关的隧道化包在无线接入点和核心网络节点之间被隧道化。

在一些实施例中，有线网络节点是汇聚网络节点，所述汇聚网络节点被设定为通过所述多个有线网络节点中的中介接入网络节点接收与来自无线接入点的无线会话相关的包，与无线会话相关的隧道化包是在汇聚网络节点和核心网络节点之间被隧道化。

在一些实施例中，有线网络节点是汇聚网络节点，所述汇聚网络节点被设定为将与无线会话相关的隧道化包和与有线会话相关的隧道化包发送给核心网络节点，所述汇聚网络节点被设定为通过所述多个有线网络节点中的中介接入网络节点接收来自无线接入点的包，与无线会话相关的隧道化包是接收到的来自无线接入点的包，与无线会话相关的隧道化包在无线接入点和核心网络节点之间被隧道化。

在一些实施例中，所述有线会话在第一时刻与用户相关，所述无线会话在第二时刻与所述用户相关，所述控制器被设定为将共有用户策略应用到所述有线会话和所述无线会话。

在一些实施例中，所述有线会话在第一时刻与用户通信装置相关，所述无线会话在第二时刻与所述用户通信装置相关，所述控制器被设定为将共有用户策略应用到所述有线会话和所述无线会话。

在一些实施例中，与有线会话相关的隧道化包与核心网络节点和有线网络节点之间的多协议标签交换MPLS隧道相关，与无线会话相关的隧道化包与核心网络节点、有线网络节点、所述多个有线网络节点中的汇聚网络节点或所述多个有线网络节点中的接入网络节点二者中的至少一个、以及无线接入点之间的多协议标签交换MPLS隧道相关。

在一些实施例中，与有线会话相关的隧道化包与核心网络节点和有线网络节点之间的第三层隧道相关，与无线会话相关的隧道化包与核心网络节点、有线网络节点、所述多个有线网络节点中的汇聚网络节点或所述多个有线网络节点中的接入网络节点中的至少一个、以及无线接入点之间的第三层隧道相关。

在一些实施例中，有线网络节点被设定为将与无线会话相关的隧道化包和与有线会话相关的隧道化包经共有隧道发送给核心网络节点。

附图说明

图1是叠加企业网的示意图，该企业网含有接入点、接入网络节点、汇聚网络节点、核心网络节点和WLAN控制器，它们被设定为分别管理和转发有线和无线业务。

图2是根据一实施例的同构企业网的示意图，该企业网含有接入点、接入网络节点、汇聚网络节点和核心网络节点，它们被设定为管理和转发不受访问方法约束的有线和无线业务。

图3是根据一实施例的接入点系统框图。

图4是根据一实施例的接入网络节点系统框图。

图5是根据一实施例的核心网络节点系统框图。

图6是根据一实施例的在核心网络节点执行的策略表的示意图，策略表基于用户、源IP地址和目的IP地址的组合定义了用户策略。

图7是根据一实施例的异构企业网的示意图，该企业网含有接入点、接入网络节点、汇聚网络节点、核心网络节点和WLAN控制器。

图8是根据另一实施例的异构企业网的示意图，该企业网含有接入点、接入网络节点、汇聚网络节点和核心网络节点。

图9是根据另一实施例的异构企业网的示意图，该企业网含有接入点、接入网络节点、汇聚网络节点和核心网络节点。

图10是根据一实施例的方法的流程图，该方法用于经通过中介有线网为络节点的隧道的方式将包传送给核心网络节点和从核心网络节点接收包。

具体实施方式

在一些实施例中,企业网包括核心网络节点和控制模块。核心网络节点与包括一个或多个汇聚网络节点和一个或多个接入网络节点的有线网络节点集合、包括一个或多个接入点的无线网络节点可操作地连接。核心网络节点被设定为接收与来自有线网络节点集合中的有线网络节点(比如接入网络节点)的有线会话相关的第一隧道化包。有线会话在第一时间与用户或用户通信装置相关。有线会话与子网标识符相关。核心网络节点还被设定为，通过有线网络节点集合的中介有线网络节点，接收与来自无线网络节点集合中的无线网络节点的无线会话相关的第二隧道化包。无线会话在第二时间同与有线会话同样的用户或同样用户通信装置相关。无线会话同与有线会话同样的子网标识符相关。控制模块与核心网络节点可操作地连接。控制模块被设定为既管理有线会话又管理无线会话，以及管理有线网络节点集合和无线网络节点集合。控制模块被设定为将共有的用户策略应用到有线会话和无线会话。在一些实施例中，第一隧道化包和第二隧道化包的每一个都是根据第三层隧道协议(layer-3tunneling protocol)或多协议标签交换(Multiprotocol Label Switching，MPLS)协议隧道化的以太网包。

在一些实施例中，企业网包括设定为与无线通信装置可操作地连接的接入点、与有线网络节点(比如汇聚网络节点、接入网络节点)集合可操作地连接的核心网络节点。接入点被设定为将与来自无线通信装置的无线会话相关的隧道化包转发给核心网络节点。隧道化包根据第三层隧道协议(layer-3tunneling protocol)或多协议标签交换(MPLS)协议隧道化。有线会话每次与用户或用户通信装置相关。核心网络节点的控制模块管理无线会话和与有线网络节点集合中的至少一个有线网络节点相关的有线会话。有线会话在不同的时间同与无线会话同样的用户或同样用户通信装置相关。控制模块被设定为将共有的用户策略应用到有线会话和无线会话。

在一些实施例中，企业网包括有线网络节点，有线网络节点被设定为与无线接入点和核心网络节点可操作地连接，无线接入点与无线通信装置可操作地连接。有线网络节点被设定为将与无线会话相关的和与从无线接入点接收的包相关的隧道化包发送给核心网络节点。无线会话每次与用户或用户通信装置相关。有线网络节点被设定为将与有线会话相关的隧道化包传送给核心网络节点。核心网络节点的控制模块控制该无线会话和与有线网络节点集合中的至少一个有线网络节点相关的有线会话。控制模块还控制有线网络节点集合和无线网络节点集合。有线会话在不同的时间同与无线会话同样的用户或同样用户通信装置相关。控制模块被设定为将共有的用户策略应用到有线会话和无线会话。

在一些实施例中，有线网络节点可以是接入网络节点或汇聚网络节点。当有线网络节点是接入网络节点时，接入网络节点被设定为，通过中介汇聚网络节点，将与无线会话相关的隧道化包和与有线会话相关的隧道化包发送给核心网络节点。在一些实施例中，接入网络节点被设定为接收与来自无线接入点的无线会话相关的包，并且与该无线会话相关的包在接入网络节点和核心网络节点之间隧道化。在其它一些实施例中，接入网络节点被设定为接收与来自无线接入点的无线会话相关的隧道化包，并且与该无线会话相关的隧道化包在无线接入点和核心网络节点之间转发。在一些实施例中，隧道化包根据第三层隧道协议(layer-3tunneling protocol)或多协议标签交换(MPLS)协议隧道化。

需要注意的是，特定网络节点可担任双重角色，既是接入网络节点又是汇聚网络节点。当网络节点与用户通信装置(例如有线通信装置)直接连接时，举例来说，在接入网络节点和核心网络节点之间建立隧道，该网络节点可作为接入网络节点工作。当网络节点通过中介网络节点(例如，通过接入点与无线通信装置非直接连接的接入网络节点)与用户通信装置非直接连接时，网络节点可作为汇聚网络节点工作，举例来说，允许包通过隧道。因此，应当明白的是，虽然网络节点可以指汇聚网络节点、接入网络节点或接入点，但这些网络节点可根据环境担任其他类型的网络节点。

图1是叠加企业网100的示意图，根据目前的企业网体系结构，该企业网含有接入点(例如接入点151、接入点152)、接入网络节点(例如接入网络节点141-144)、汇聚网络节点(例如汇聚网络节点131、汇聚网络节点132)、核心网络节点(例如核心网络节点121、核心网络节点122)和WLAN(无线局域网)控制器110，它们全体被设定为分别管理和转发有线和无线业务。具体来说，核心网络节点和包括接入网络节点和汇聚网络节点的有线网络节点，全体被设定为，为一个或多个与一个或多个接入网络节点(例如，接入网络节点143、接入网络节点142)可操作地连接的有线通信装置(例如，有线通信装置181、有线通信装置182)管理和转发有线业务。另一方面，包括WLAN控制器110和无线网络节点(例如接入点151、接入点152)的无线设备全被设定为，通过中介有线网络节点和核心网络节点，为一个或多个与一个或多个无线网络节点(例如接入点151)可操作地连接的无线通信装置(例如无线通信装置191)管理和转发无线业务。

核心网络节点(例如核心网络节点121、核心网络节点122)可以是位于企业网(例如叠加企业网100)物理核心或骨干的高能力交换装置。在某些情况下，核心网络节点被认为是核心交换机、汇接交换机或者骨干交换机。在叠加企业网100中，核心网络节点121和核心网络节点122被设定为将接入装置(例如接入网络节点141-144、接入点151-152)和WLAN控制器110与网络101连接，从而能够将访问位于网络101中的信息服务(例如持久性数据和应用)提供给经有线或无线通信装置(例如有线通信装置181、有线通信装置182、无线通信装置191)与叠加企业网100连接的用户。具体地说，核心网络节点121和核心网络节点122可操作地将汇聚网络节点131和汇聚网络132连接到网络101，并且基于IP路由服务转发汇聚网络节点131、汇聚网络节点132和网络101之间的有线和/或无线会话的包。换句话说，核心网络节点121和核心网络节点122为叠加企业网100扮演了工作在开放系统互联(OSI，open systems interconnection)模型第第三层(例如网络层)的路由器的角色。在叠加企业网100中，接入网络节点管理有线会话，核心网络节点被设定为对从汇聚网络节点接收的有线会话业务进行交换或路由，而无线会话由WLAN控制器110管理，如同下文详细描述的一样。

如图1所示，网络101可以是任何通过一个或多个核心网络节点与叠加企业网100直接连接的网络。例如，网络101可以是包括一个或多个提供信息服务的数据服务器的数据中心网络。再例如，网络101可以是用于将叠加企业网100与远端数据资源连接的广域网(WAN，wide area network)接入网络。又例如，网络101可以是互联网(Internet)。典型地，叠加企业网100扮演了为有线或无线用户提供访问位于网络101或网络101提供的数据资源、应用和信息服务的接入网络的角色。

在叠加企业网100中，接入网络节点(例如接入网络节点141-144)可以是任何能够将一个或多个有线通信装置(例如有线通信装置181、有线通信装置182)与叠加企业网100直接连接的装置，例如，集线器、以太网交换机等。在某些情况下，接入网络节点被认为是接入交换机、网络交换机或者交换式集线器。此外，如本文详细描述的一样，接入网络节点141-144被设定为确保包在一个或多个汇聚网络节点、一个或多个有线通信装置、和/或一个或多个与接入网络节点连接的接入点之间传送。在叠加网络节点100中，有线通信装置可以是任何通过有线连接从接入网络节点接收包和/或向接入网络节点发送包的装置，例如台式电脑、工作站、打印机等。

在分层网络节点100，汇聚网络节点(例如汇聚网络节点131-132)可以是任何用于汇聚多个接入网络节点和确保包在网络中正确交换或路由的装置，例如路由器、第三层交换机等等。此外，如本文详细描述的一样，汇聚网络节点131-132被设定为根据包中提供的路由信息和在汇聚网络节点131-132执行的路由策略，将从一个或多个接入网络节点接收的包路由到另一个接入网络节点或核心网络节点。在一些实施例中，一系列汇聚网络节点和与冗余核心网络节点集合有共有连接的相关接入装置(例如接入网络节点、接入点)被认为是一个群。如图1所示，汇聚网络节点131-132及其相关的接入网络节点141-144和接入点151-152组成了一个群。

在叠加企业网100中，核心网络节点121-122、汇聚网络节点131-132和接入网络节点141-142全都被设定为，为一个或多个与一个或多个接入网络节点可操作地连接的有线通信装置管理和转发有线业务。包括接入网络节点141-144和汇聚网络节点131-132的有线网络节点被设定为，根据包含在包中的目的地址(例如目的IP地址、目的MAC地址)，将从有线通信装置接收的有线会话包交换或路由给另一个有线网络节点或核心网络节点。更具体地说，一些从接入网络节点而来在汇聚网络节点收到的有线业务可以从汇聚网络节点交换或路由到另一个接入网络节点，如果该业务意在去往在同一个群内的目的装置的话。相反，去往位于另一个群的目的装置的有线业务被转发给核心网络节点，从该核心网络节点转发进另一个群。例如，如果有线通信装置181给接入网络节点143发送去往有线通信装置182的包，该包可以先被接入网络节点143转发给汇聚网络节点131。接着，根据包含在包中的目的IP地址或MAC地址，汇聚网络节点131又将该包转发给接入网络节点142，接入网络节点142最后将该包发送给有线通信装置182。再如，如果有线通信装置181给接入网络节点143发送去往位于网络101中的装置的包，该包可以先被接入网络节点143转发给汇聚网络节点131。接着，根据包含在包中的目的IP地址或MAC地址，汇聚网络节点131又将该包转发给核心网络节点122，核心网络节点122将该包发送进网络101以便进一步路由。

在叠加企业网100中，包括WLAN控制器110和接入点151-152的无线设备转发从一个或多个无线通信装置(例如无线通信装置191)接收的无线业务。具体来说，WLAN控制器110可以是任何能够自动处理多路接入点的配置的装置，并且担当集中控制器的角色，该集中控制器被设定为在叠加企业网100的有线网络部分的叠加范围内管理无线会话。接入点可以是任何将使用如Wi-Fi、蓝牙或其他无线通信标准的无线通信装置连接到有线网络(例如，经如图1所示的接入网络节点)的装置。在某些情况下，接入点可以与接入网络节点一起位于同一个装置上，例如装备有无线收发器的无线以太网路由器。在其它情况下，接入点可以是独立装置，例如无线接入点(WAP)。与有线通信装置相似，无线通信装置可以是任何能通过无线连接从无线接入点接收和/或向无线接入点发送包的装置，比如，例如，移动电话、WiFi使能的膝上电脑、蓝牙耳机等。

在叠加企业网100，WLAN控制器110和接入点151-152全被设定为通过中介有线网络节点和核心网络节点管理和转发无线业务。具体来说，WLAN控制器110被设定为，经通过中介有线网络节点和核心网络节点的第三层隧道接收来自接入点151或接入点152的无线会话的封装包，将封装包解封装，接着将解封装的包桥接给核心网络节点121或核心网络节点122，从这里解封装包再被转发到目的地。相似地，WLAN控制器110被设定为接收来自核心网络节点121或核心网络节点122的、去向接入点151或接入点152的无线会话包，根据第三层隧道协议封装包，接着经通过中介有线网络节点和核心网络节点的第三层隧道将封装包发送给接入点151或者接入点152，在这里解封装封装包并转发给无线通信装置。

在某些情况下，第三层隧道可以是第三层隧道之上的以太网，例如CAPWAP(无线接入点的控制和规范)隧道、Ethernet-in-GRE(通用路由封装)隧道等等。例如，如果无线通信装置191给接入点151发送去向有线通信装置181的包，先根据如CAPWAP或Ethernet-in-GRE之类的第三层隧道协议封装该包，然后经过接入网络节点141、汇聚网络节点131和核心网络节点121传送给WLAN控制器110(在图1中用10表示隧道)。接着，根据同样的第三层隧道协议在WLAN控制器110解封装封装包，并基于目的IP地址或MAC地址传送回核心网络节点121。最后，基于目的IP地址或MAC地址，靠核心网络节点121、汇聚网络节点131和接入网络节点143将包转发给有线通信装置181。再例如，如果无线通信装置191将去向位于网络101中的IP地址或MAC地址的包发送给接入点151，先根据如CAPWAP或Ethernet-in-GRE之类的第三层隧道协议将包封装，然后经过接入网络节点141、汇聚网络节点131和核心网络节点121(在图1中用10表示隧道)传送给WLAN控制器110。接着，根据同样的隧道协议在WLAN控制器110解封装封装包，并基于目的IP地址或MAC地址传送给核心网络节点122。最后，基于目的IP地址或MAC地址靠核心网络节点122将包转发给网络101，并进一步投递给所述网络101中的目的IP地址或MAC地址相关的实体。

在叠加企业网100中，对用户的接入控制策略(例如，去往网络资源，去往特定IP地址)是在包括汇聚网络节点、接入网络节点和接入点的有线网络节点和无线网络节点分别维护、配置和实施的。此外，在有线网络节点和/或无线网络节点生效的策略实施取决于每个有线网络节点和/或无线网络节点，并且从一个节点到另一个节点可以不同。例如，接入控制策略在接入网络节点142和接入点151分别实施，从而在接入网络节点142接收的来自用户(例如来自有线通信装置182)的去向网络101中的特定IP地址或MAC地址的包，不能被接入网络节点142转发；而在接入点151接收的来自同一用户(例如来自无线通信装置191)的去向同一IP地址或MAC地址的包，可以被接入点151转发。这样，用户可以经与接入点151可操作地连接的无线通信装置191连接到与网络101中的特定IP地址或MAC地址相关的实体，但是不能经与接入网络节点142可操作地连接的有线通信设备182连接到与同样的IP地址或MAC地址相关的实体。

在某些情况下，分配给连接到叠加企业网100的有线和无线客户的IP地址从不同的子网提供。这样，分配给连接到叠加企业网100的有线通信设备的IP地址的子网标识符，与分配给连接到叠加企业网100的无线通信设备的IP地址的子网标识符不同。例如，如果分配给连接叠加企业网100的有线通信装置的IP地址是来自C类IP地址组192.168.120.x，而分配给连接叠加企业网100的无线通信装置的IP地址是另一C类IP地址组192.168.10.x，那么有线通信装置181和有线通信装置182与192.168.120.0的同一子网标识符(例如网络前缀)相关，这与无线通信装置191的子网标识符即192.168.10.0不同。

图2是根据一实施例的同构企业网200的示意图，该企业网含有接入点(例如接入点251、接入点252)、接入网络节点(例如接入网络节点241-244)、汇聚网络节点(例如汇聚网络节点231、汇聚网络节点232)、核心网络节点(例如核心网络节点221、核心网络节点222)，它们被设定为管理和转发不受访问方法约束的有线和无线业务。具体来说，核心网络节点和包括接入网络节点和汇聚网络节点的有线网络节点被设定为，为一个或多个与一个或多个同构企业网200的接入网络节点(例如，接入网络节点243)可操作地连接的有线通信装置(例如，有线通信装置281)管理和转发有线业务。同时，核心网络节点和无线网络节点(例如接入点251、接入点252)被设定为，通过中介有线网络节点，为一个或多个与一个或多个同构企业网200的无线网络节点(例如接入点251)可操作地连接的无线通信装置(例如无线通信装置291)管理和转发无线业务。除此之外，与图1所示的网络101相似，网络201是通过核心网络节点221和/或核心网络节点222与同构企业网200相连接的网络，它提供了对数据资源、应用和/或信息服务的访问，对于同构企业网200可操作的连接的客户的访问。例如，网络201可以是数据中心网络、广域网、因特网等等。

在企业网中，如果每个包含在企业网或部分企业网中的网络装置可以被一个或多个网络节点控制，那么该企业网可以被认为是同构企业网，或者该部分企业网可以被认为是企业网的同构部分。在这样的同构企业网或部分企业网中使用MPLS隧道技术将业务(例如有线或无线业务)隧道化是可能的。如果不是每个包含在部分企业网中的网络节点被一个或多个核心网络节点控制，那么企业网的该部分可以被认为是叠加企业网部分。此外，既包含同构部分又包含叠加部分的企业网可以被认为是异构企业网。另外，在一些实施例中，包含在企业网的同构部分或叠加企业网部分的一个或多个网络装置能使用第三层隧道技术(例如CAPWAP、Ethernet-in-GRE)将业务隧道化。MPLS隧道技术仅可以用在同构部分中。

在同构企业网中，共有隧道技术可以用于在同构企业网的任何部分既转发有线业务又转发无线业务。例如，如本申请的详细描述，MPLS隧道技术或第三层隧道技术可以用于在同构企业网200的任何部分既转发有线业务又转发无线业务。相反，如上述对图1的描述，在叠加企业网(例如叠加企业网100)中，第三层隧道技术可以用于在叠加企业网的无线叠加部分转发无线业务，而典型地在叠加企业网中没有隧道技术(如第三层隧道技术、MPLS隧道技术)用于转发有线业务。另一方面，在异构企业网中，根据在异构企业网特定部分的网络装置的能力，不同隧道技术可以用于在异构企业网的不同部分转发有线或无线业务。例如，如对图7的详细描述，MPLS隧道技术或第三层隧道技术可以用于在异构企业网700的同构部分既转发有线业务又转发无线业务。第三层隧道技术(如CAPWAP、Ethernet-in-GRE)，而不是MPLS隧道技术，能用于在异构企业网700的叠加企业网部分转发无线业务。根据在异构企业网700的叠加企业网部分中的叠加企业网部分中的有线网络节点(例如，核心网络节点、汇聚网络节点、接入网络节点)的能力，第三层隧道技术或没有隧道技术可用于异构企业网700的叠加企业网部分转发有线业务。

举例来说，同构企业网中的核心网络节点(例如同构企业网200中的核心网络节点221或核心网络节点222)可以从叠加企业网中的核心网络节点(例如叠加企业网100中的核心网络节点121或核心网络节点122)升级而来。在这样的升级中，同构企业网中的核心网络节点(例如核心网络节点221、核心网络节点222)是将例如交换机、路由器和控制器组合成的单一装置，控制器包括设定为管理有线/无线网络节点和/或有线/无线用户会话的控制模块(例如，如图5所示的核心网络节点500的控制模块524)。换句话说，核心网络节点221、222是至少WLAN控制器(例如WLAN控制器110)和来自叠加企业网的核心网络节点的组合。一方面，与来自叠加企业网的核心网络节点相似，核心网络节点221、222仍然能够转发汇聚网络节点和与核心网络节点221、222可操作地连接的网络之间有线会话包。另一方面，与叠加企业网中的核心网络节点不同，核心网络节点221、222能够通过中介有线网络节点，经隧道(例如MPLS隧道、第三层隧道)，建立与接入网络节点的有线会话，或者建立与接入点的无线会话。关于同构企业网的核心网络节点、接入网络节点和/或接入点之间会话数据的隧道化的详细内容将在下面描述。在一些实施例中，同构企业网中的核心网络节点被认为是核心SRC(交换机、路由器和控制器)。

与核心网络节点221-222类似，包括汇聚网络节点231-232、接入网络节点241-244和接入点251-252的同构企业网200中的所有其它装置，能够被设定为在同构企业网中运行。具体地说，接入网络节点241-244和汇聚网络节点231-232的功能包括将包括有线和无线会话的客户业务多路传输给核心网络节点221或核心网络节点222，不需要任何局部交换或复杂的转发和分类功能。例如，与叠加企业网100中的汇聚网络节点131-132不同，汇聚网络节点231不需要被设定为将从接入网络节点243接收到的包根据包含在包中的目的地址交换或者或路由给另一个接入网络节点。反而，汇聚网络节点231可被设定为通过接入网络节点243和核心网络节点221(如图2中22表示的隧道)之间部分隧道将该包转发给核心网络节点221，从该核心网络节点221，所述包被进一步交换或路由到目的地。相似的陈述，接入网络节点241-244被设定为经通过中介汇聚网络节点231-232的隧道(例如图2中22表示的隧道)将有线业务发送给核心网络节点221或核心网络节点222。接入点251-252被设定为经通过中介接入网络节点和汇聚网络节点的隧道(例如图2中20表示的隧道)将无线业务发送给核心网络节点221或核心网络节点222。

在企业网中，应用于核心网络节点和接入装置(例如接入网络节点、接入点)的隧道技术取决于核心网络节点、接入装置和存在于核心网络节点和接入装置之间的中间网络装置(例如汇聚网络节点)的性质和能力。具体地说，在叠加企业网(例如叠加企业网100)中，典型地没有隧道协议能被用于核心网络节点和接入装置之间。在同构企业网(如同构企业网200)中，如MPLS或第三层隧道协议之类的隧道协议能使用。在异构企业网(如图7所示异构企业网700)中，如MPLS或第三层隧道协议之类的隧道协议可用于异构企业网的同构部分，而第三层隧道协议或没有隧道协议可被用于异构企业网的叠加企业网部分。

例如，如果无线通信装置291给接入点251发送去向有线通信装置281的包，先在接入点251将该包根据MPLS或第三层隧道协议(例如，CAPWAP、Ethernet-in-GRE)进行封装，然后经通过接入网络节点241和汇聚网络节点231(如图2中20表示的隧道)的MPLS隧道或第三层隧道传送给核心网络节点221。接着，根据MPLS或第三层隧道协议在核心网络节点221将封装包解封装。然后基于包含在包中目的IP地址或目的MAC地址，根据MPLS或第三层隧道协议在核心网络节点221将包再次封装，并经通过汇聚网络节点231(如图2中22表示的隧道)的另一个MPLS隧道或另一个第三层隧道，由核心网络节点221将封装包转发给接入网络节点243。最后，在接入网络节点243，根据MPLS或第三层隧道协议将封装包解封装，从接入网络节点243解封装的包传递给有线通信装置281。

再例如，如果无线通信装置281将去向位于网络201中的IP地址的包发送给接入网络节点243，先在接入网络节点243根据MPLS或第三层隧道协议将包封装，再经通过汇聚网络节点231的MPLS隧道或第三层隧道(图2中用22表示的隧道)传送给核心网络节点221。接着，根据MPLS或第三层隧道协议在核心网络节点221将封装包解封装。最后，基于包含在包中的目的IP地址，由核心网络节点221将解封装包转发给网络201，并进一步传递给与网络201中的目的IP地址相关的目的实体。

在同构企业网200中，与叠加企业网100不同，有线网络节点和无线网络节点不再是分别配置和管理。特别是，对给定用户的访问控制策略(如，去网络资源、去特定IP地址)不再是在每个汇聚网络节点、接入网络节点或接入点分别维持、配置和实施的。相反，对给定用户的共有用户策略在一个或多个核心网络节点维护和配置，如果需要，则由企业网在接入网络节点或接入点自动应用，视用户在哪里和如何连接到该网络而定。更具体地说，下行链路策略实施可以集中在核心网络节点，在这里例如所有用户业务的全部视图可用于监控和管制。相反，大部分上行策略可下载到接入装置并在接入装置实施(例如接入网络节点、接入点)以避免浪费在企业网中的带宽。

例如，如图2所示，对用户的共有用户策略在同构企业网200的核心网络节点221-222被维持和配置。具体地说，连接到或有可能连接到同构企业网200的、包括通过无线通信装置291和有线通信装置281接入的用户在内所有用户的下行策略，被维持在存储于核心网络节点221和/或核心网络节点222中的策略表中，并且在核心网络节点实施。另一方面，在用户连接到接入装置之后，对通过无线通信装置291和有线通信装置281接入同构企业网200的用户的上行链路策略，分别下载到接入点251和接入网络节点243和在接入点251和接入网络节点243实施。

在一些实施例中，在一个或多个同构企业网的核心网络节点维持和配置共有用户策略使得包括上行链路策略和下行链路策略的用户策略仅取决于用户实施，而不管用户采用的访问方法(例如，经有线连接、经无线连接)。换句话说，当用户通过不同接入装置(例如，接入点、接入网络节点)和/或经不同种类的连接(例如，有线连接、无线连接)接入同构企业网时，将同样的用户策略应用于用户。在一些实施例中，同构企业网使用用户标识符和口令的唯一组合识别用户。例如，如图2所示，在第一次，使用无线通信装置291的用户通过提供用户标识符和口令的组合接入接入点251，再从事无线会话。结果，对该用户的上行链路策略应用于接入点251，对该用户的下行链路策略应用于核心网络节点221。要注意的是，接入网络节点241和汇聚网络节点231不需要有对该用户的上行链路策略，因为接入点251在接入网络节点241和汇聚网络节点231进行隧道化以到达核心网络节点221。在第二次，使用有线通信装置281的同一个用户靠提供同样的用户标识符和口令的组合接入接入网络节点，再从事有线会话。结果，又一次，对该用户的相同的上行链路策略应用于接入网络节点243，对该用户的相同的下行链路策略应用于核心网络节点221。要注意的是，汇聚网络节点231不需要有对用户的上行链路策略，因为接入网络节点243通过汇聚网络节点231进行隧道化以到达核心网络节点221。

在一些实施例中，共有用户策略可依赖于用户使用的用户通信装置(例如，有线通信装置、无线通信装置)单独实施，而不管用户采用的接入方法。换句话说，当用户通信装置通过不同的接入装置和/或经不同类型的连接连接到同构企业网时，同样的用户策略能用于用户。在一些实施例中，同构企业网使用与用户通信装置相关的唯一标识符识别用户通信装置，例如MAC地址。例如，如图2所示，第一次，用户通信装置(例如，WiFi使能的膝上电脑)连接到接入点251并靠其MAC地址辨别，再从事无线会话。结果，对该用户通信装置的上行链路策略应用于接入点251，对该用户通信装置的下行链路策略应用于核心网络节点221。在第二次，同样的用户通信装置连接到接入网络节点243并再次靠其MAC地址辨认，再从事有线会话。结果，又一次，对该用户通信装置的相同的上行链路策略应用于接入网络节点243，对该用户通信装置的相同的下行链路策略应用于核心网络节点221。与用于同构企业网的共有策略基础结构的更详细的说明，在于2011年10月4日提交的、名称为“Methods and Apparatus for Enforcing a Common User policy within a Network”的共同未决美国专利申请No._____13/252，856中进行了阐述，该美国申请以引用方式全部并入本申请。

在一些实施例中，分配给连接到同构企业网的有线和无线客户的IP地址自公共子网提供。因此，分配给连接到同构企业网的有线通信装置的IP地址的子网标识符与分配给连接到同构企业网的无线通信装置的IP地址的子网标识符一样。例如，如图2所示，分配给连接到同构企业网200的有线或无线通信装置的IP地址是来自C类IP地址的192.168.100.x。结果，有线通信装置281和无线通信装置291与192.168.100/24的相同的子网标识符(例如，网络前缀)相关。

在一些实施例中，将来自共有子网的IP地址分配给有线和无线通信装置，使得企业网以同样方式对待客户而不考虑客户采用的接入方法。具有从用于有线和无线通信装置的共有子网分配的IP地址，用户通信装置可以在有线接入装置(例如接入网络节点)和无线通信装置(例如，接入点)之间无缝地移动而无需再分配新的IP地址。此外，在其中使用用户通信装置的相关用户会话，相应地能够在有线会话和无线会话之间无缝地移动，无需重建。例如，如图2所示，具有从C类IP地址192.168.100.x组中分配的IP地址192.168.100.10的用户通信装置(例如，WiFi使能的膝上电脑)能够从接入点251无缝地移动到接入网络节点244而无需再分配新的IP地址。在这样的例子中，用户通信装置(例如，WiFi使能的膝上电脑)可以包含代理或者本地存储逻辑(例如，硬件或在处理器上执行的软件)以便与同构企业网200的多部分进行通信。因此，相关用户会话可以从无线会话无缝地移动到有线会话而无需重建。

在一些实施例中，集中式核心体系结构可以提供针对企业网内服务的单点配置和管理以及对可视性和监控应用的单一逻辑节点。结果，各种类型的服务模块可以在一个或多个核心网络节点处聚合和/或合并，例如防火墙、入侵检测策略(IDP，intrusion detection policy)、虚拟专用网络(VPN)终端、负载均衡等等。在这样的同构企业网中，服务不再需要分布在网络中个各种层中，并且能够给予用户独立于他们接入机制的一致的策略，如同上面详细描述的一样。

图3是根据一实施例的接入点300系统框图。与图2所示的同构企业网200中的接入点251和接入点252相似，接入点300可以是任何使用如Wi-Fi、蓝牙或其他无线通信标准将一个或多个无线通信装置连接到同构企业网(例如，经接入网络节点)的装置。例如，接入点300可以是无线接入点(WAP)。如图3所示，接入点300包含RF收发器322、通信接口324、存储器326和包含隧道模块的329的处理器328。接入点300的每个组件与剩余的接入点300的组件可操作地连接。此外，RF收发器322的每个操作(例如、发送/接收数据)、通信接口324的每个操作(例如，发送/接收数据)、隧道模块329的每个操作(例如，封装/解封装包)以及存储器326上的每个处理(例如，更新上行链路策略表)，由处理器328控制。

在一些实施例中，接入点300可以使用任何适当的无线通信标准(诸如，举例来说，Wi-Fi、蓝牙和/或类似的标准)与无线通讯装置(例如，WiFi使能的膝上电脑、移动电话)通信。具体地说，在与无线通信装置通信的时候，接入点300可以被设定为通过RF收发器322接收和/或发送数据。此外，在一些实施例中，企业网的接入点使用一个无线通信标准与同接入点可操作地连接的无线通信装置进行无线通信，而企业网的另一接入点使用不同的无线通信标准与同另一接入点可操作地连接的无线通信装置进行无线通信。例如，如图2所示，接入点251可通过其RF收发器从基于W-Fi标准的无线通信装置291(例如，WiFi使能的膝上电脑)接收数据包，而接入点252可以将数据包从其RF收发器发送给基于蓝牙标准的另一无线通信装置(例如，蓝牙使能的移动电话)(没有显示在图2中)。

在一些实施例中，接入点300通过在通信接口324和接入网络节点的相应物(例如，通信接口)之间实现的有线连接，而与接入网络节点可操作地连接。该有线连接可以是，举例来说，经电缆的双绞线电信令、经光缆的光纤光学信令和/或类似的连接。同样地，在接入点300与接入网络节点通信的时候，接入点300可以被设定为通过与接入网络节点的通信接口相连接的通信接口324接收和/或发送数据。此外，在一些实施例中，企业网的接入点实现与同接入点可操作地连接的接入网络节点的有线连接，而企业网的另一接入点实现与同其它接入点可操作地连接的接入网络节点的不同有线连接。例如，如图2所示，接入点251可实现一个有线连接(如双绞线电信令)以连接接入网络节点241，而接入点252可实现不同的有线连接(例如光纤光学信令)以连接接入网络节点244。

虽然没有明确表示在图2中，应当明白的是，接入点300可以与一个或多个其它的接入点连接，随后，这些接入点还可与一个或多个其它接入点连接。在这样的实施例中，互联的接入点集合可以定义为同构企业网200中的无线全连接网络。在这样的实施例中，接入点300的通信接口324可用于实现与另一个(些)接入点的相应物(例如，通信接口)的无线连接。同样地，接入点300可被设定为，在接入点300与另一接入点通信的时候，通过与该接入点的通信接口连接的通信接口324接收和/或发送数据。

在一些实施例中，如对图2的描述，接入点300可被设定为准备从与接入点300可操作地连接的无线通信装置接收的包(例如，数据包、控制包)，然后经隧道(例如，第三层隧道、MPLS隧道)将该包发送给另一个网络装置(例如核心网络节点)。接入点300也可被设定为将从另一个网络装置(例如核心网络节点)经隧道接收的包解封装，在将该解封装包转发给与接入点300可操作地连接的无线通信装置之前。具体地说，隧道模块329被设定为，一旦从与接入点300可操作地连接的无线通信装置接收到包，就将该包根据预定的隧道协议(例如，CAPWAP、Ethernet-in-GRE、MPLS)进行封装(例如，加报头、报尾和/或修改包含在该包中的其它任何标识符)。接着，将该封装包通过通信接口324发送给连接到接入点300的接入网络节点，从接入点300封装包沿隧道转发给隧道末端的网络装置。另一方面，隧道模块329被设定为，一旦从连接到接入点300的接入网络节点接收到自网络装置通过隧道发送而来的包，根据预定的隧道协议(例如，CAPWAP、Ethernet-n-GRE、MPLS)将该包解封装(例如，移除报头、报尾和/或修改任何包含在该包中的其他标识符)。接着，由RF收发器322将解封装包发送给与接入点300可操作地连接的无线通信装置。

在一些实施例中，如对图2的描述，当位于隧道末端的网络装置(例如，核心网络装置)和所有中介有线网络节点(例如，接入网络节点、汇聚网络节点)在同构企业网中或者异构企业网的同构部分时，隧道模块329可被设定为根据隧道协议(例如MPLS或第三层隧道协议)将包封装或解封装。在这样的实施例中，接入点300可被设定为经通过中介有线网络节点的隧道(例如MPLS隧道或第三层隧道)将包发送给核心网络节点或从核心网络节点接收包。在其它一些实施例中，如下面对图7的描述，隧道末端的网络装置和中介有线网络节点中的一个或多个在异构企业网的叠加企业网部分时，隧道模块329可被设定为将包进行封装或解封装，例如，根据第三层隧道协议(例如，CAPWAP、Ethernet-in-GRE)。在这样的实施例中，接入点300可被设定为经通过中介有线网络节点的第三层隧道将包发送给核心网络节点或从核心网络节点接收包。

在一些实施例中，如对图2描述，接入点300可被设定为针对一个或多个用户和/或一个或多个与接入点300可操作地连接的用户通信装置实现上行链路策略。具体地说，在与用户相关的用户通信设备与接入点300可操作地连接之后，与该用户和/或该用户通信设备相关的上行链路策略就从核心网络节点下载到接入点300，并存进存储器326。处理器328被设定为应用存进存储器326中的上行链路策略以控制从用户通信装置接收到的包的转发。具体地说，处理器328被设定为，将从该用户和/或用户通信设备接收到的包转发给连接到接入点300的接入网络节点，如果这样的转发被与该用户和/或该用户通信设备相关的上下链路策略所允许的话；或者将包丢弃，如果这样的转发被与该用户和/或该用户通信设备相关的上下链路策略所拒绝的话。

在一些实施例中，举例来讲，存储器326可以是随机访问存储器(RAM)(例如，动态RAM、静态RAM)、flash存储器、可移动存储器和/或类似的存储器。在一些实施例中，是数据而不是与接入点300的操作相关的上行链路策略还可存进存储器326。例如，潜在用户通信装置的MAC地址可存进存储器326，从而一旦与接入点300可操作地连接，用户通信装置可由接入点300辨认出。再例如，与去往核心网络节点的隧道化包相关的信息可以存进存储器326，从而可由接入点300对建立与核心网络节点的隧道(例如MPLS隧道或第三层隧道)进行初始化。

图4是根据一实施例的接入网络节点400系统框图。与在图2中表示的同构企业网200中的接入网络节点241-244相似，接入网络节点400可以是任何将一个或多个有线通信装置连接到同构企业网的装置，例如集线器、以太网交换机等等。更具体地说，接入网络节点400被设定为确保包在一个或多个汇聚网络节点、有线通信装置和/或与接入网络节点400可操作地连接的接入点之间传送。如图4所示，接入网络节点400包含通信接口448、存储器444和包含隧道模块的442的处理器446。接入网络节点400的每个组件与剩余的接入网络节点400的组件可操作地连接。此外，通信接口448的每个操作(例如，发送/接收数据)、隧道模块442的每个操作(例如，封装/解封装包)以及存储器444上的每个处理(例如，更新上行链路策略表)，由处理器446控制。

在一些实施例中，接入网络节点400的通信接口448包括至少两个端口(图4中没表示)，该两个端口能用于实现在接入网络节点400与一个或多个接入点、有线通信装置和/或汇聚网络节点之间的一个或多个有线连接。该有线连接可以是，举例来说，经电缆的双绞线电信令、经光缆的光纤光学信令和/或类似的连接。这样，接入网络节点400可设定为通过通信接口448的一个或多个端口接收和/或发送数据，通信接口448与一个或多个接入点、有线通信装置和/或汇聚网络节点的通信接口相连接。此外，在一些实施例中，接入网络节点400可实现与接入点、有线通信装置、或通过通信接口448的一个端口与接入网络节点400可操作地连接的汇聚网络节点三者其中之一的有线连接，同时实现与另一个接入点、有线通信装置、或通过通信接口448的另一个端口与接入网络节点400可操作地连接的汇聚网络节点的不同的有线连接。例如，如图2所示，接入网络节点241可实现一个有线连接(如双绞线电信令)以与接入点251连接，同时实现不同的有线连接(例如光纤光学信令)以与汇聚网络节点231连接。

在一些实施例中，如对图2和图3的描述，接入网络节点400可以是其中一个在接入点和核心网络节点之间的中介有线网络节点，通过它在接入点和核心网络节点之间建立隧道(例如第三层隧道、MPLS隧道)。在这样的实施例中，接入网络节点400可以被设定为转发隧道化包(例如，根据第三层隧道协议封装的包，根据MPLS封装的包)。例如，如图2所示，接入网络节点241可以将从接入点251接收到的、根据MPLS或第三层隧道协议封装的隧道化包，沿接入点251和核心网络节点之间的MPLS隧道或第三层隧道(图2中用20表示的隧道)转发给汇聚网络节点231。

在一些实施例中，如对图2的描述，接入网络节点400可被设定为准备从与接入网络节点400可操作地连接的有线通信装置接收的包(例如，数据包、控制包)，然后经隧道(例如，根据如Ethernet-in-GRE,CAPWAP等的第三层隧道协议或MPLS协议的隧道)将该包发送给另一个网络装置(例如核心网络节点)。接入网络节点400也可被设定为将从另一个网络装置(例如核心网络节点)经隧道接收的包解封装，在将该解封装包转发给与接入网络节点400可操作地连接的有线通信装置之前。具体地说，隧道模块442被设定为，一旦从与接入网络节点400可操作地连接的有线通信装置接收到包，就将该包根据该隧道的协议进行封装(例如，加报头、报尾和/或修改包含在该包中的其它任何标识符)。接着将该封装包通过通信接口448的端口发送给连接到接入网络节点400的汇聚网络节点，从接入网络节点，封装包沿隧道转发核心网络节点。另一方面，隧道模块442被设定为，一旦从连接到接入网络节点400的汇聚网络节点接收到自核心网络节点通过隧道发送而来的包，根据隧道的协议将该包解封装(例如，移除报头、报尾和/或修改任何包含在该包中的其他标识符)。接着，由通信接口448的端口将解封装包发送给与接入网络节点400可操作地连接的通信装置。

在一些实施例中，如对图2描述，接入网络节点400可被设定为针对一个或多个用户和/或一个或多个与接入网络节点400可操作地连接的用户通信装置实现上行链路策略。具体地说，在与用户相关的用户通信设备与接入网络机节点400可操作地连接之后，与该用户和/或该用户通信设备相关的上行链路策略就从核心网络节点下载到接入点400，并存进存储器444。处理器446被设定为应用存进存储器444中的上行链路策略以控制从用户通信装置接收到的包的转发。具体地说，处理器446被设定为，将从该用户和/或用户通信设备接收到的包转发给连接到接入网络节点400的汇聚网络节点，如果这样的转发被与该用户和/或该用户通信设备相关的上行链路策略所允许的话；或者将包丢弃，如果这样的转发被与该用户和/或该用户通信设备相关的上行链路策略所拒绝的话。

在一些实施例中，举例来讲，存储器444可以是随机访问存储器(RAM)(例如，动态RAM、静态RAM)、flash存储器、可移动存储器和/或类似的存储器。在一些实施例中，是数据而不是与接入网络节点400的操作相关的上行链路策略还可存进存储器444。例如，潜在用户通信装置的MAC地址可存进存储器444，从而一旦与接入网络节点400可操作地连接，用户通信装置可由接入网络节点400辨认出。再例如，与去往核心网络节点的隧道化包相关的信息可以存进存储器444，从而可由接入网络节点400对建立与核心网络节点的MPLS隧道或第三层隧道进行初始化。

图5是根据一实施例的核心网络节点500系统框图。与在图2中示出的同构企业网200的核心网络节点221和核心网络节点222类似，核心网络节点500可以是任何位于企业网物理核心或骨干的交换装置，它被设定为将该企业网剩余的装置(例如、汇聚网络节点、接入网络节点、接入点)可操作地连接到一个或多个提供对数据资源和/或信息服务的其他网络。更具体地说，核心网络节点500被设定为，举例来说，基于IP路由服务，在一个或多个汇聚网络节点和一个或多个其它与核心网络节点500可操作地连接的网络之间转发数据。此外，核心网络节点500被设定为，举例来说，既管理有线网络装置又管理无线网络装置，管理有线和无线客户两者的用户会话，为有线与无线客户和/或有线与无线通信装置维持包含用户策略(例如，上行链路策略，下行链路策略)的策略表，以及针对一个或多个用户和/或针对一个或多个用户通信装置将用户策略应用于转发包或丢弃包，如下文详细描述。

如图5所示，核心网络节点500包括通信接口530、含有策略表512的存储器510和包含隧道模块522和控制模块524的处理器520。通信接口530的每个操作(例如，接收/发送数据)、隧道模块522的每个操作(例如，封装/解封装包)、和控制模块的每个操作(例如，管理用户会话)、以及策略表512或存储器510的任何其他部分的每个处理(例如，修改条目)，由处理器520控制。

在一些实施例中，核心网络节点500的通信接口530包括至少两个端口(图5中没表示)，该两个端口能用于实现在一个或多个核心网络节点500与一个或多个汇聚网络节点、一个或多个接入网络节点、其他网络节点、和/或其他网络的装置之间的一个或多个有线连接。有线连接可以是，举例来说，经电缆的双绞线电信令、经光缆的光纤光学信令和/或类似的连接。同样地，核心网络节点500可设定为通过通信接口530的一个或多个端口接收和/或发送数据，通信接口530与一个或多个汇聚网络节点、一个或多个接入网络节点、其他核心网络节点、和/或其他网络的装置的通信接口相连接。此外，在一些实施例中，核心网络节点500可实现与汇聚网络节点、接入网络节点、另一核心网络节点、或通过通信接口530的一个端口与核心网络节点500可操作地连接的另一网络的装置的其中之一的有线连接，同时实现与另一个汇聚网络节点、接入网络节点、核心网络节点、或通过通信接口530的另一端口与核心网络节点500可操作地连接的另一网络的装置的不同的有线连接。例如，如图2所示，核心网络节点221可实现一个有线连接(如双绞线电信令)以连接核心网络节点231、汇聚(网络节点)232、和核心网络节点222，同时可实现不同的有线连接(例如光纤光学信令)以连接网络201的装置。

在一些实施例中，如对图2的描述，核心网络节点500可被设定为，准备经隧道(例如，根据如Ethernet-in-GRE、CAPWAP等的第三层隧道协议或MPLS协议的隧道)发送给接入装置(例如，接入点、接入网络节点)的包(例如，数据包、控制包)。核心网络节点500还可被设定为，经隧道接收并解封装来自接入装置封装包。与在图1中的叠加企业网中的核心网络节点类似，核心网络节点500可被设定为将包转发给其他网络装置或从其他网络装置接收包，所述其他网络装置与核心网络节点500可操作地连接，包括其他核心网络节点和/或其它网络的装置，无需使用任何隧道技术。另外，核心网络节点500可被设定为，基于存储在策略表512中的与用户或用户通信装置相关的用户策略，转发或丢弃用户会话的包。特别的，核心网络节点500的控制模块524被设定为及管理有线用户会话和无线用户会话，并且为一个或多个用户和/或为一个或多个用户通信装置，应用用户策略以转发或丢弃包。

更具体地说，隧道模块522被设定为，一旦经隧道(例如，根据第三层隧道协议或MPLS协议的隧道)在通信接口530的端口接收到与用户会话相关的包，就根据该隧道的协议将该包解封装(例如，移除报头、报尾、和/或修改包括在该包中的任何其他标识符)。作为选择，核心网络节点500在通信接口530的端口接收来自来与核心网络节点500(例如另一核心网络节点或另一个网络中的装置)可操作地连接的另一个网络装置的与用户会话相关的包。控制模块524于是可设定为将存储在策略表512中、与用户或用户通信装置相关的用户策略应用在收到的包上。如果用户会话是被用户策略允许的，控制模块524被设定为将包转发。如果用户会话被用户策略所拒绝，控制模块524被设定为将包丢弃。如果用户会话被用户策略确定为受限制或者受用户策略的相反的影响，控制模块524被设定为检索更多的与包和/或用户会话相关的信息以作出决定。

为转发收到的包，控制模块524被设定为检查包含在包中的目的IP地址或目的MAC地址。如果包不是去向在与核心网络节点500直接相连的群中的用户(例如，去向在没有与核心网络节点500相连的群中的网络装置、去向另一个网络中的用户)，控制模块524被设定为从通信接口530的端口将包转发给与核心网络节点500可操作地连接的网络装置。例如，控制模块524可被设定为将包经两个核心网络节点之间的隧道转发给另一个与核心网络节点500可操作地连接的核心网络节点。再例如，控制模块524可被设定为将包转发给在与核心网络节点500可操作地连接的另一个网络中的网络装置而不使用任何隧道技术。如果包是去向在与接入网络节点500直接连接的群中的用户，隧道模块522被设定为就将包根据隧道的协议进行封装(例如，加报头、报尾和/或修改包含在该包中的其它任何标识符)。同时，控制模块524被设定为建立将核心网络节点500连接到与用户通信装置可操作地连接的接入装置(例如，接入网络节点、接入点)的隧道(如果这样的隧道还没有建立的话)。最后，控制模块524被设定为将封装包从通信接口530的端口通过隧道发送给接入装置。

如对图2的描述和图5所示，对用户的共有用户策略存储在策略表512中，策略表在核心网络节点500维持和配置。策略表512位于存储510的一部分中。在一些实施例中，举例来讲，存储器510可以是随机访问存储器(RAM)(例如，动态RAM、静态RAM)、闪速存储器、可移动存储器和/或类似的存储器。在一些实施例中，是数据而不是与核心网络节点500的操作相关的用户策略还可存进存储器510。例如，潜在用户的用户标识符和口令的组合可存储在存储器510中，以便由核心网络节点500根据用户输入的、提供给核心网络节点500的用户标识符和口令对用户标识进行认证。作为选择，存储器510可以为存储用户验证信息(例如，用户标识符和口令)和相关策略的外部服务器存储地址信息。再例如，与去向一个或多个接入装置的隧道化包相关的信息可以存储在存储器510中，从而可由核心网络节点500对建立与其中一个接入装置的MPLS隧道或第三层隧道进行初始化。

图6是根据实施例在核心网络节点(例如，核心网络节点500)执行的策略表600的示意图，策略表基于用户、用户IP地址和远端IP地址、和方向标识符的组合定义了用户策略。策略表600有5列项目，表示为用户610、用户IP地址620、远端IP地址630、方向640、和策略650。第一列，用户610，包含用户标识符(例如，A、B、C)，每个用户标识符唯一标识了与在同构企业网(例如，同构企业网200)或者异构企业网的同构部分的用户(例如，由用户标识符和口令的组合标识的人)或者用户通信装置(例如，由MAC地址标识的装置)。第二列，用户IP地址620，包含IP地址(例如，192.168.120.2，192.168.x.x，x表示0～255之间的任何整数值)，每个IP地址标识了针对用户用来访问同构企业网或异构企业网的同构部分的有线装置或无线装置的一个IP地址或一组IP地址。第三列，远端IP地址630，包含IP地址(例如，192.168.120.200，192.168.120.100，192.168.1.x)，每个IP地址标识了针对与在用户会话中的用户通信的其他实体的一个IP地址或一组IP地址。第四列，方向640，包含方向标识符(例如，上、下)，每个方向标识符指示了所定义的用户会话业务的方向。如图6所示，方向标识符“下”和“上”分别指示了策略是下行链路策略、或者是上行链路策略。第五列，策略650，包含控制关键字(例如，允许、拒绝)，每个控制关键字指示了用于控制与用户会话相关的包的策略。具体地说，如图6所示，控制关键字“允许”表示与用户会话相关的包应当被转发；控制关键字“拒绝”表示与用户会话相关的包应当被丢弃。

在同构企业网或异构企业网的同构部分中，如这里所描述的，共有用户策略可不受用户位置或接入方式的约束地应用到在给定用户会话中的用户通信装置。换句话说，用户会话中用于用户的用户策略(例如，上行链路策略、下行链路策略)可依赖于用户标识符和用户会话的远端IP地址，而不需要依赖用户IP地址。例如，存储在策略表600中用户策略的第一条记录是对用户A的下行链路策略，它定义了从远端IP地址192.168.120.200去向与任何用户A相关的装置的包应当被丢弃，而不考虑用户A的用户IP地址，像用户IP地址x.x.x.x所指示的一样。再如，存储在策略表600中用户策略的第三条记录是对用户B的上行链路策略，它定义了从任何与用户B相关的装置去向远端IP地址192.168.120.200的包应当被转发，而不考虑用户B的用户IP地址，像用户IP地址x.x.x.x所指示的一样。

此外，如这里所描述的一样，下行链路策略可在核心网络节点实施以丢弃或转发去向同构企业网或异构企业网的同构部分内的用户的包。在用户通信装置与同质企业网或异质企业网的同质部分的接入装置(例如、接入网络节点、接入点)可操作地连接并且被分配IP地址之后，核心网络节点(例如，图5中的核心网络节点500)被设定为更新一个或多个存储在核心网络节点里的策略数据库(例如图5中的策略表512)中的、与该用户相关下行链路策略记录。具体来说，核心网络节点被设定为用分配给该用户的IP地址替换下行链路策略记录中的默认用户IP地址(例如x.x.x.x)或其他任何形式的IP地址，从而下行链路策略在核心网络节点执行以控制通过核心网络节点发送给该用户的业务。此外，与该用户相关的一个或多个上行链路策略记录从策略数据库下载到用户的接入装置，以便上行链路策略可在接入装置执行以控制自用户发送来的业务。

例如，如图6所示，在用户B的用户通信装置与同构企业网可操作地连接并被分配了IP地址192.168.120.2之后，主管策略表600的核心网络节点被设定为用192.168.120.2更新策略表600第二条记录中的用户B的用户IP地址。这样，存储在策略表600的第二条记录中的用于用户B的下行链路策略可在核心网络节点执行以控制通过核心网络节点发送给用户B的业务。此外，存储在策略表600的第三条记录中用于用户B的上行链路策略下载到与用户B的通信装置连接的接入装置，从而上行链路策略可在接入装置执行以控制自用户B的通信装置通过接入装置发送来的业务。

图7是根据实施例的异构企业网700的示意图，该企业网含有接入点(例如接入点751-753)、接入网络节点(例如接入网络节点741-744)、汇聚网络节点(例如汇聚网络节点731、汇聚网络节点732)、核心网络节点(例如核心网络节点721、核心网络节点722)和WLAN控制器710。在这个例子中，在网络装置中，接入点751、接入点753、接入网络节点741、接入网络节点743、汇聚网络节点731、和核心网络节点721是与同构企业网(如，参考图2描述的同构企业网200中的网络装置)中那些网络装置相似的网络装置，如图7的阴影框标识的。图7左侧的带阴影的网络装置构成了异构企业网700的同构部分。另一方面，异构企业网700的其它网络装置，包括接入点752、接入点752、接入网络节点744、汇聚网络节点732、核心网络节点722、和WLAN控制器710，构成了异构企业网700的无线叠加企业网部分。具体来说，这些网络装置的一部分或所有与无线叠加企业网内的网络装置(例如，参考图1描述的叠加企业网中的网络装置)相似。

如这里描述的一样，企业网中应用在两个网络装置(例如,接入点、接入网络节点、汇聚网络节点、核心网络节点、WLAN控制器)之间的隧道技术依赖于这两个网络装置以及存在于这两个在网络装置之间的中间网络装置的性质和/或能力。具体来说，如果两个网络装置和存在于这两个网络装置之间的中间网络装置并不是所有的都能够使用MPLS，那么针对这两个网络装置之间的隧道，可以应用第三层隧道协议(例如，CAPWAP、Ethernet-in-GRE)，而不应用MPLS。另一方面，如果两个网络装置和存在于这两个网络装置之间的中间网络装置全都能适用MPLS，或者换句话说，像在同构企业网中的装置一样运行，那么第三层隧道协议或MPLS可应用于这两个网络装置之间的隧道。

如这里详细描述的一样，异构企业网的同构部分内的核心网络节点(例如，核心网络节点721)可被设定为管理异构企业网的同构部分内的有线/无线网络业务和/或有线/无线会话。相反，异构企业网的叠加企业网部分内、像无线叠加企业网中的核心网络节点(例如图1中叠加企业网100中的核心网络节点121或122)一样运行的核心网络节点(例如，核心网络节点722)，被设定为仅管理有线会话，不管理无线会话。对不包括任何像同构企业网中的核心网络节点一样运转的核心网络节点的无线叠加企业网部分，WLAN控制器(例如，WLAN控制器710)可用于管理无线网络节点和/或无线会话。也就是说，由这样的无线叠加企业网部分内的接入点产生的无线业务通过第三层隧道到达WLAN控制器，在它们被WLAN控制器转发给目的地之前。

在一些实施例中，多于一种类型的隧道技术能用于异构企业网的同构部分。例如，如图7所示，第三层隧道和MPLS隧道两者都能用于在异构企业网700的同构部分转发有线和/或无线业务。明确地讲，第三层隧道(例如，CAPWAP隧道、Ethernet-in-GRE隧道)可用于转发在接入点751和核心网络节点721之间的无线业务(如图7的70表示的隧道)。作为选择，MPLS隧道也可用于转发接入点751和核心网络节点721之间的无线业务。同时，MPLS隧道可用于转发接入网络节点743和核心网络节点721之间的有线业务(如图7中7表示的隧道)。作为选择，第三层隧道也可用于转发接入点743和核心网络节点721之间的有线业务。虽然没有在图7中表示,其他隧道(例如,第三层隧道、MPLS隧道)也可用于异构企业网700的同构部分的网络装置之间。

在一些实施例中，控制器-至-控制器隧道可在异构企业网中用于将WLAN控制器连接到另一个同构部分的核心网络节点的控制器(例如，控制模块)以转发有线和/或无线业务。例如，如图7所示，控制器-至-控制器隧道(如图7中用74表示的隧道)可用于转发WLAN控制器710和异构企业网700中的核心网络节点721之间的有线和/或无线业务。在一些实施例中，这样的控制器-至-控制器隧道可以让WLAN控制器和同构部分的核心网络节点的控制器能够使跨越整个异构企业网的移动成为可能。

在一些实施例中，在异构企业网的叠加企业网部分中的网络装置可以向无线叠加企业网(例如，叠加企业网100)中的网络装置一样运行。另一方面，第三层隧道可用于，通过异构企业网的叠加企业网部分中的中介有线网络节点，转发WLAN控制器和接入点之间的无线业务。例如，如图7所示，第三层隧道(如图7中75表示的隧道)用于，通过中介核心网络节点722、汇聚网络节点732和接入网络节点744，转发WLAN控制器710和接入点752之间的无线业务。这样，无线通信装置792能够发送无线业务给其他网络装置和/或接受从其他网络装置接受无线业务，所述其他网络装置通过接入点752和WLAN控制器710之间的第三层隧道与异构企业网可操作地连接。

另一方面，第三层隧道可用于转发异构企业网的叠加企业网部分中两个有线网络节点之间的有线业务。例如，如图7所示，第三层隧道(例如图7中77表示的隧道)可用于，通过中介汇聚网络节点732，转发核心网络节点722和接入网络节点744之间的有线业务。这样，举例来说，与接入网络节点744连接的有线通信装置782能够通过核心网络722和接入网络节点744之间的第三层隧道，将有线业务发送给有线通信装置781和/或从有线通信装置781接收有线业务。作为选择，有线业务可在没有使用任何隧道的情况下，在异构企业网的叠加企业网部分的网络装置之间传递，如对图1的描述一样。

在一些实施例中，企业网中的一个或多个核心网络节点可被设定为管理与企业网可操作地连接但与企业网分离设置的网络装置的分支部署。这样的网络装置的分支部署典型地不包括核心网络节点或者任何其他类型的能够管理网络装置运行的控制装置。在一些实施例中，这样的网络装置的分支部署可通过一个或多个其他网络与企业网中的核心网络节点可操作地连接。在图7的例子中，核心网络节点721可被设定为管理通过网络701与核心网络节点721可操作地连接的网络装置(没有在图7中表示)的分支部署。

图8是根据一实施例的异构企业网800的示意图，该企业网含有接入点(例如接入点851、接入点852)、接入网络节点(例如接入网络节点841-844)、汇聚网络节点(例如汇聚网络节点831、汇聚网络节点832)、和核心网络节点(例如核心网络节点821、核心网络节点822)。在这个例子中，在网络装置中，接入点851、接入点852、接入网络节点841、接入网络节点842、接入网络节点843、接入网络节点844、汇聚网络节点831、核心网络节点821、和核心网络节点822是与同构企业网(如，参考图2描述的同构企业网200中的网络装置)中那些网络装置相似的网络装置，如图8的阴影框标识的。另一方面，异构企业网800的其他网络装置，包括汇聚网络节点832，是与叠加企业网内的网络装置(例如，参照图1描述的叠加企业网中的网络装置)相似的网络装置。

在一些实施例中，像同构企业网中的装置一样运行的、异构企业网中的核心网络节点可被设定为管理有线和无线会话，以及有线和无线网络装置。在这样的实施例中，WLAN控制器(例如，图7中WLAN控制器710)可以不被异构企业网所需要。例如，如图8所示，核心网络节点821可被设定为管理在异构企业网800的左侧部分(包括汇聚网络节点831、接入网络节点841、843、和接入点851)内的、带阴影的有线和无线网络装置。相似地，核心网络节点822可被设定为管理在异构企业网800的右侧部分(包括接入网络节点842、844、和接入点852)内的、带阴影的有线和无线网络装置。具体来说，来自有线网络装置或无线网络装置的有线或无线业务可通过中介有线网络装置，使用隧道发送给核心网络节点821或核心网络节点822，接着相应地由核心网络节点821或核心网络节点822转发。此外，隧道可以是MPLS隧道或第三层隧道，取决于有线或无线网络装置和中介有线网络装置的性质和/或能力。

例如，接入点851通过隧道(如图8中80表示的隧道)可将从无线通信装置891接收的无线业务发送给核心网络节点821，或者从核心网络节点821接收去向无线通信装置891的无线业务。因为接入点851、核心网络节点821、以及中介接入网络节点841和汇聚网络节点831都想同构企业网中的网络装置一样运行，连接接入点851和核心网络节点821的隧道80可以是MPLS隧道或第三层隧道。在一些实施例中，如这里论述的一样，如果两个网络装置和这两个网络装置之间的中介有线网络节点中的至少一个不能使用MPLS，MPLS隧道将不用于通过中介有线网络节点转发在这两个网络装置之间的有线或无线业务。但是，如果两个网络装置和这两个网络装置之间的中介有线网络节点都能够使用第三层隧道协议，相应的第三层隧道可用于通过中介有线网络节点转发在这两个网络装置之间的有线或无线业务。

在图8的例子中，核心网络节点822、接入网络节点842、接入网络节点844和接入点852都像同构企业网(即，能够使用MPLS或第三层隧道协议)中的网络装置一样运行，但汇聚网络节点832不能使用MPLS。从而，第三层隧道(如图8中86表示的隧道)可用于通过汇聚网络节点832和接入网络节点844转发在核心网络节点822和接入点852之间的无线业务。相似地，第三层隧道(如图8中87表示的隧道)可用于通过汇聚网络节点832转发在核心网络节点822和接入点842之间的有线和/或无线业务。

在一些实施例中，与同构部分内的核心网络节点和WLAN控制器(例如，图7中74表示的隧道)之间的控制器-至-控制器隧道相似，控制器-至-控制器隧道可用于连接两个在异构企业网中担任控制器的核心网络节点。这样的控制器-至-控制器隧道可用于转发两个异构企业网中的核心网络节点之间的有线和/或无线业务。例如，如图8所示，控制器-至-控制器隧道(如图8中用84表示的隧道)可用于转发异构企业网800中的核心网络节点821和核心网络节点822之间的有线和/或无线业务。

图9是根据另一实施例的异构企业网900的示意图，该企业网含有接入点(例如接入点951-954)、接入网络节点(例如接入网络节点941-944)、汇聚网络节点(例如汇聚网络节点931-932)、和核心网络节点(例如核心网络节点921-922)。在这个例子中，在网络装置中，接入点951、接入点952、接入点953、接入网络节点941、接入网络节点943、汇聚网络节点931、汇聚网络节点932、核心网络节点921、和核心网络节点922是与同构企业网(如，参考图2描述的同构企业网200中的网络装置)中那些网络装置相似的网络装置，如图9的阴影框所标识的。另一方面，异构企业网900的其它网络装置，包括接入点954、接入网络节点942、和接入网络节点944，是与叠加企业网(例如，参照图1描述的叠加企业网100中的网络装置)内的网络装置相似的网络装置。

在一些实施例中，像同构企业网中的装置一样运行的、异构企业网中的核心网络节点可被设定为管理有线和无线会话，以及有线和无线网络装置。在这样的实施例中，WLAN控制器(例如，图7中WLAN控制器710)可以不被异构企业网所需要。例如，如图9所示，核心网络节点921可被设定为管理在异构企业网900的左侧部分(包括汇聚网络节点931、接入网络节点941、接入网络节点943、和接入点951)内的有线和无线网络装置。相似地，核心网络节点922可被设定为管理在异构企业网900的右侧部分(包括汇聚网络节点932、和接入点952和953)内的有线和无线网络装置。具体来说，来自有线网络装置或无线网络装置的有线或无线业务可使用通过中介有线网络装置的隧道发送给核心网络节点921或核心网络节点922，接着相应地由核心网络节点921或核心网络节点922转发。此外，隧道可以是MPLS隧道或第三层隧道，取决于有线或无线网络装置和中介有线网络装置的性质和/或能力。

例如，接入点951通过隧道(如图9中90表示的隧道)可将从无线通信装置991接收的无线业务发送给核心网络节点921，或者从核心网络节点921接收去向无线通信装置991的无线业务。因为接入点951、核心网络节点921、以及中介接入网络节点941和汇聚网络节点931都像同构企业网中的网络装置一样运行，连接接入点951和核心网络节点921的隧道90可以是MPLS隧道或第三层隧道。在一些实施例中，如这里论述的一样，如果两个网络装置和这两个网络装置之间的中介有线网络节点中的至少一个不能使用MPLS，MPLS隧道将不用于通过中介有线网络节点转发在这两个网络装置之间的有线或无线业务。但是，如果两个网络装置和这两个网络装置之间的中介有线网络节点都能够使用第三层隧道协议，相应的第三层隧道可用于通过中介有线网络节点转发在这两个网络装置之间的有线或无线业务。

在图9的例子中，核心网络节点922、汇聚网络节点932、接入点952和接入点953都像同构企业网(即，能够使用MPLS或第三层隧道协议)中的网络装置一样运行，但接入网络节点942和944不能使用MPLS。从而，第三层隧道(如图9中96表示的隧道)可用于通过汇聚网络节点932和接入网络节点944转发在核心网络节点922和接入点952之间的无线业务。在一些实施例中，隧道(例如，MPLS隧道、第三层隧道)可用于转发核心网络节点和汇聚网络节点之间(通过或不通过中介有线网络节点)的有线或无线业务，从而汇聚网络节点能够将从接入装置(例如、接入网络节点、接入点)接收的业务转发给核心网络节点，或者经隧道将从核心网络节点接收的业务转发给接入装置。在一些实施例中，举例来说，核心网络节点和汇聚网络节点之间的隧道可以是MPLS隧道或者第三层隧道，取决于核心网络节点、汇聚网络节点和该核心网络节点与该汇聚网络节点之间的每一个潜在的中介有线网络节点的性质和/或能力。在图9的例子中，隧道(如图9中99表示的隧道)可用于转发核心网络节点922和汇聚网络节点932之间的有线或无线业务，从而所有与接入网络节点942、944或者接入点953或954相关的业务能够被强迫经隧道通过核心网络节点922。

在一些实施例中，共有隧道可用于转发企业网中的有线业务和无线业务。接着图9的例子，接入网络节点942可接收来自有线通信装置982的有线业务，以及经隧道92的来自接入点953的无线业务和不经隧道的来自接入点954的无线业务。所有这些业务，有线和无线，都发送给汇聚网络节点932，接着经如图9中99表示隧道(第三层隧道、MPLS隧道)给核心网络节点922。相似地，对有线通信装置982的有线业务和对接入点953和954的无线业务经共有隧道99从核心网络节点发送给汇聚网络节点，并且从汇聚网络节点932，有线和无线业务转发给接入点942和接入点953和954。

图10是根据一实施例的流程图，该流程图图解说明了用于经通过中介有线网络节点的隧道的方式将包传送给核心网络节点和从核心网络节点接收包的方法。在1002，第一包可从无线通信装置经无线链路在接入点接收。具体地说，如对图3的描述一样，第一包可从与接入点可操作地连接的无线通信装置经无线链路在接入点的RF收发器接收。例如，如图2所示，第一包(例如，数据包、控制包)从无线通信装置291经将无线通信装置291可操作地连接接入点251的无线链路在接入点251中的RF收发器被接收。在一些实施例中，无线通信装置可以是移动电话、WiFi使能的膝上电脑、蓝牙耳机等等。接入点和无线通信装置之间的无线连接可基于Wi-Fi、蓝牙、或其他无线通信标准。

在1004，第一包可在接入点被封装以确定第一封装包。具体地说，如对图3的详细描述，接入点中的隧道模块被设定为，将第一包根据预定的隧道协议(例如，CAPWAP、Ethernet-in-GRE、MPLS)进行封装(例如，加报头、报尾和/或修改包含在该包中的其它任何标识符)。结果，第一封装包被确定并且准备由接入点通过基于预定的隧道协议建立的隧道转发。例如，如图2所示，接入点251中的隧道模块被设定为根据MPLS或第三层隧道协议封装第一包，以确定准备通过MPLS隧道或第三层隧道发送的第一封装包。

在1006，第一封装包可经通过中介有线网络节点的隧道传送给核心网络节点。隧道可以在接入点和核心网络节点之间建立，基于与用于在接入点封装第一包所采用的隧道协议一样的隧道协议。在一些实施例中，隧道跨越一个或多个中介有线网络节点，包括一个或多个接入网络节点和汇聚网络节点。随后，如对图3的描述，第一封装包可以通过接入点中的通信接口发送给与接入点可操作地连接的网络装置(例如，接入网络节点)。例如，如图2所示，接入点251被设定为，经通过接入网络节点241和汇聚网络节点231的MPLS隧道或第三层隧道，将第一封装包通过接入点251中的通信接口传送给核心网络节点221。

在1008，第二封装包可从核心网络节点经通过中介有线网络节点的隧道在接入点接收。与步骤906相似，第二封装包可在接入点中的通信接口接收，并且隧道可在接入点和核心网络节点之间基于与用于封装和发送第一包所采用的隧道协议一样的隧道协议建立。此外，在一些实施例中，中介有线网络节点可以与用于发送第一封装包的隧道中的中介有线网络节点相同。例如，如图2所示，接入点251被设定为，在接入点251的通信接口接收自核心网络节点221经通过汇聚网络节点231和接入网络节点241的MPLS隧道或第三层隧道的第二封装包。

在1010，第二封装包可在接入点被解封装以恢复第二包。与步骤904相似，接入点中的隧道模块可被设定为根据用于传送第二封装包所采用隧道协议解封装第二封装包(例如，移除报头、报尾、和/或修改任何包中包含的标识符)。结果，第二包被恢复并且准备由接入点转发给无线通信装置。例如，如图2所示，接入点251中的隧道模块被设定为根据MPLS或第三层隧道协议解封装第二封装包，以恢复准备发送给无线通信装置291的第二包。

在1012，第二包可从由接入点经无线链路传送给无线通信装置。与步骤902相似，第二包可由接入点中的RF收发器经无线链路传送给与接入点可操作地连接的无线通信装置。例如，如图2所示，第二包经将无线通信装置291可操作地连接到接入点251的无线链路，由接入点251中的RF收发器传送给无线通信装置291。

虽然图10描述了通过接入点和核心网络节点之间的隧道的用于无线业务的包的相关情况，但是用于有线业务的包能够以相似的方式通过接入网络节点和核心网络节点之间的隧道。更具体地说，第一包可从有线通信装置经有线链路而恢复，与图10中的1002相似。接着第一包可被封装以确定第一封装包，与图10中的1004相似。第一封装包可经通过中介有线网络节点的隧道传送给核心网络节点，与图10中的1006相似。第二封装包可从核心网络节点经通过中介有线网络节点的隧道而恢复，与图10中的1008相似。第二封装包可被解封装以恢复第二包，与图10中的1010相似。第二包可经有线链路传送给有线通信装置，与图10中的1012相似。

虽然上文描述了各种实施例，应当明白的是，它们仅是以例子的方式出现，并不是限制，并且可进行各种形式变化和细化。这里描述的装置和/或方法的任何部分可组合进任何组合中，除了相互排斥的组合。这里描述的实施例可包括所描述的不同实施例的功能、组件和特征的各种组合和/或子组合。

虽然上文将图1表示和描述为汇聚网络节点131-132及其相关的接入网络节点141-144和接入点151-152构成的群，但是在其他实施例中，群可包括少于两个或多于两个汇聚网络节点及其相关的接入装置(例如，接入网络节点、接入点)。如这里描述的一样，群被定义为汇聚网络节点及相关接入装置的集合，所述相关接入装置具有到核心网络节点冗余集的共有连接。此外，虽然上文将图1、2、7和8表示和描述为核心网络节点的冗余集，其连接到一个群，包括两个核心网络节点，但在其他实施例中，这样的核心网络节点的冗余集可包括多于两个的核心网络节点。例如，任何数量(例如3、4、5等)的核心网络节点簇可与汇聚网络节点及其相关接入装置的群连接。核心网络节点簇中的每个核心网节点可担任用于包括在与核心网络节点簇相关的群中的网络装置的控制器、一跳和/或交换机。

虽然上文将图5表示和描述为包含在核心网络节点500中的控制模块，但是在其他实施例中，控制模块可与核心网络节点分离并且与核心网络节点可操作地连接。在一些实施例中，控制模块可设置在与核心网络节点可操作地连接的独立装置上。在这样的例子中，控制模块可被设定为管理有线和/或无线会话，以及通过给核心网络节点发送信号(例如控制信号)和从核心网络节点接收信号的方式，将用户策略应用到有线和/或无线会话。例如，控制模块可给核心网络节点中的隧道模块发送控制信号，命令隧道模块根据预定的隧道协议(例如，第三层隧道协议、MPLS)封装或解封装收到的包。再如，控制模块可给核心网络节点的处理器发送控制信号，命令处理器将与用户会话相关的信息和存储在核心网络节点内的策略表中的数据进行比较，从而确定适当的用户策略并应用到用户会话上。

虽然上文将图6表示和描述为策略表600包括每个用户的前三个字段中的每一个的数据，但是用户策略记录可包括少于或多于三个字段的数据。也就是说，用户策略记录不是必须需要包含所有存储在策略表600中并由实体(例如核心网络节点、接入装置)应用的前三个字段(例如，用户标识符、源IP地址、目的IP地址)的数据。例如，具有用户标识符“D”和策略关键字“拒绝”(并且没有针对源IP地址或目的IP地址的数据)的用户策略记录指示了与用户标识符“D”相关的用户会话的所有包应当被丢弃，而不考虑该用户会话的源IP地址或目的IP地址。再如，具有源IP地址“192.168.120.10”和策略关键字“允许”(并且没有针对用户标识符或目的IP地址的数据)的用户策略记录指示了与源IP地址“192.168.120.10”相关的用户会话的所有包应当被转发，而不考虑该用户会话的用户标识符或目的IP地址。在替代实施例中，策略表可基于其他分类技术，诸如，举例来说，深度包检测(Deep Packet Inspection)、和包大小及节奏信息。

这里描述的实施例与带有计算机可读介质(也可认为是处理器可读介质)的计算机存储产品相关，计算机可读介质上具有用于完成各种计算机可执行操作的指令和计算机编码。所述介质和计算机编码(也可认为是编码)可以是为特定目的或多个目的而设计和构建的。计算机可读介质的例子包括，但不限于：磁存储介质，比如硬盘、软盘和磁带；光存储媒体，比如CD/DVDs(Compact Disc/Digital Video Discs)、只读CD存储器(Compact Disc-Read Only Memories)和全息摄影装置；磁-光存储介质，比如光盘；载波信号处理模块；和专门设定为存储和执行程序代码硬件装置，比如专用集成电路ASIC、可编程逻辑设备PLDs和只读存储器(ROM)和随机存取存储器(RAM)装置。

计算机编码的例子包括，但不限于：微码或微型指令、如由编译器产生的机器指令、用来产生Web服务的编码、以及包含由使用解释程序的计算机执行的高级指令的文件。例如，实施例可使用Java，C++或其他编程语言(例如，面向对象编程语言)和开发工具而实现。额外的计算机代码的例子包括，但不仅限于，控制信号，加密编码和压缩编码。