CN101199166B - 接入节点、接入点、接入服务器、连接到业务提供网络的方法 - Google Patents

接入节点、接入点、接入服务器、连接到业务提供网络的方法 Download PDF

Info

Publication number
CN101199166B
CN101199166B CN200680021420.1A CN200680021420A CN101199166B CN 101199166 B CN101199166 B CN 101199166B CN 200680021420 A CN200680021420 A CN 200680021420A CN 101199166 B CN101199166 B CN 101199166B
Authority
CN
China
Prior art keywords
network
terminal
address
server
business
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200680021420.1A
Other languages
English (en)
Other versions
CN101199166A (zh
Inventor
J·鲁恩
U·琼森
T·拉森
T·加格尼厄斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of CN101199166A publication Critical patent/CN101199166A/zh
Application granted granted Critical
Publication of CN101199166B publication Critical patent/CN101199166B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/2878Access multiplexer, e.g. DSLAM
    • H04L12/2879Access multiplexer, e.g. DSLAM characterised by the network type on the uplink side, i.e. towards the service provider network
    • H04L12/2881IP/Ethernet DSLAM
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

描述了通过宽带远程接入服务器(17)将终端(15)连接到多个业务提供网络(3.1,3.2)之一的方法和设备。在一个方法中,接入节点(13)被连接在终端的接入点(1)和接入服务器之间。该接入节点包括VLAN处理单元,该处理单元具有用于存储在第一VLAN(43)中和在第二VLAN(41.1,41.2)中传送的以太网帧的标识的存储器,第一VLAN(43)包括接入节点和接入服务器的本地虚拟路由器功能单元(49)。第二VLAN的每一个包括接入节点和用于每一个业务提供网络的接入服务器的虚拟路由器功能单元(47.1,47.2)之一。接入节点中的控制单元命令处理单元从已经将自己连接到接入点的新用户设备传送帧到第一虚拟局域网。控制单元还接收来自接入服务器的关于路由帧的信息,并且它命令处理单元从连接到接入点的用户设备传送帧并且来自用户设备的帧被传送到第一VLAN或者由从接入服务器接收的信息指定被传送到第二VLAN之一,所述帧因此被传送到各个业务提供网络的接入服务器(19)。

Description

接入节点、接入点、接入服务器、连接到业务提供网络的方法
相关申请
本申请要求在2005年4月29日提交的国际专利申请No.PCT/SE2005/000645的优先权并且要求该国际专利申请的权益,其全部教导在此引入以作为参考。
技术领域
本发明通常涉及数字通信系统,具体涉及这样的数字通信系统,即在该系统中终端用户通过以太网网络来接入系统的其余部分并且该系统包括对各种业务的宽带接入,并且更具体地涉及在数字通信系统中由终端用户在宽带接入中进行的操作员工作室(operator shop)选择。
背景技术
以太网是世界最普及的联网技术。
以太网信号从一个站点一次一个比特地被串行传送到网络上的每个其他站点。以太网使用被称作载波监听多路访问/冲突检测(CSMA/CD)的宽带接入方法,在该方法中网络上的每个计算机“听到”每个传输,但是每个计算机仅“收听”送往它的传输。每个计算机可以在它想要的任何时候发送消息而不必等待网络允许。它发送的信号行进到网络上的每个计算机。每个计算机听到该消息,但是仅该消息要送往的那个计算机识别它。这个计算机识别该消息,因为该消息包含该计算机的地址。消息还包含发送计算机的地址,因此消息能被确认。如果两个计算机同时发送消息,则发生“冲突”,干扰所述信号。当计算机在给定时间内没有听到它自己的消息时,它能判定冲突是否发生。当冲突发生时,每个冲突计算机在重新发送该消息之前等待一段随机时间。冲突检测和重传过程由以太网适配器本身来处理并且不涉及该计算机。冲突解决过程在多数情况下花费仅一秒钟的若干分之几。冲突是正常的并且是以太网网络上的预期事件。随着更多的计算机加入到网络中并且通信水平增加,更多的冲突作为正常操作的一部分发生。然而,如果网络变得太拥挤,则冲突增加到它们大大地减慢网络的程度。
基于冲突检测的任何系统必须控制通过LAN的最差来回行程所需的时间。因为术语“以太网”被一般地定义,所以这个来回行程被限制到50微秒(一秒的百万分之一)。以每秒10兆比特的发信速率,这对于传送500比特是足够的时间。以每字节8比特,这略微小于64字节。
为了确保冲突被识别,以太网要求站点必须连续传送直到50微秒的周期结束。如果该站点具有少于64字节的数据要发送,那么它必须通过在末尾加上零来填充数据。
为了将LAN扩展成远于50微妙限度所允许的范围,LAN需要网桥或者路由器。这些术语经常易于混淆:
-转发器接收并且然后立即转发每个比特。它没有存储器并且不依赖于任何特定协议。它复制任何东西,包括冲突。
-网桥将整个消息接收到存储器中。如果消息被冲突或者噪声破坏,那么丢弃该消息。如果网桥知道该消息在同一电缆上的两个站点之间被发送,那么它丢弃该消息。否则,该消息排队等候并且将在另一个以太网电缆上被重传。网桥没有地址。其动作对于客户机和服务器工作站是透明的。
-路由器用作代理来接收和转发消息。路由器具有地址并且对于客户机或者服务器机器来说是已知的。通常,当机器在同一电缆上时,它们相互直接发送消息,并且机器向路由器发送要送往另一个地区、部门或者子网络的消息。路由是对于每个协议来说特定的一种功能。对于IPX,Novell服务器可以用作路由器。对于SNA,APPN网络节点进行路由。TCP/IP可以由专用设备、UNIX工作站、或者OS/2服务器来路由。
在以太网上传送的数据块被称作“帧”。每个帧的前12个字节包含6个字节的目的地址(接收方)和6个字节的源地址(发送方)。每个以太网适配器卡与唯一出厂地址(“全球管理地址”)一起提供。这个硬件地址也称作MAC(媒体访问控制)地址或者以太网地址,该地址的使用保证了每个卡的唯一身份。可以配置PC软件来替换不同的地址号码。当使用这个选项时,它被称作“本地管理地址”。每个帧的源地址字段必须包含分配给发送卡的唯一地址(全球的或者本地的)。目的字段可以包含“组播”地址,该地址代表具有同一公共特性的一组工作站。
全世界的每个以太网板具有唯一的以太网地址,它是48比特的号码(前24比特表示制造商,后24比特是由制造商分配给每个以太网板/控制器芯片的唯一号码)。这也被称作MAC地址。
在正常操作中,以太网适配器将只接收目的地址与其唯一地址匹配的帧,或者目的地址代表组播消息的帧。
对于该帧的其余部分的格式有三种共同的协定:
-以太网II或者DIX
-IEEE 802.3和802.2
-SNAP
以太网II或者DIX:
|目的地址|源地址|类型(Decnet、IPX或者IP)|
吉比特以太网载波扩展是保持具有有意义的电缆距离的802.3最小和最大帧大小的一种方式。对于载波扩展帧,非数据扩展符号包含在“冲突窗口”中,即,整个扩展帧被视作冲突并且被丢掉。然而,仅针对原始(没有扩展符号)帧计算帧校验序列(FCS)。在由接收方对FCS进行校验之前,去除扩展符号。因此,LLC(逻辑链路控制)层甚至不知道载波扩展。
|前同步码|SFD|DA|SA|类型/长度|数据|FCS|扩展|
|最小64字节 |
|最小512字节 |
| 载波事件的持续时间 |
SFD是帧起始分隔符
|前同步码(7字节)|帧起始分隔符(1字节)|目的MAC地址(6字节)|源MAC地址(6字节)|长度/类型(2字节)|MAC客户机数据(0-n字节)|填充(0-p字节)|帧校验序列(4字节)|
在1998年,IEEE通过了802.3ac标准,其定义了帧格式扩展来支持在以太网上的虚拟局域网(VLAN)标签。VLAN协议允许插入标识符或者“标签”到以太网帧格式以识别该帧所属于的VLAN。它允许来自站点的帧被分配到逻辑组。这提供了各种好处,比如易于网络管理、允许形成工作组、增强网络安全以及提供限制广播域的方法。IEEE标准802.IQ给出VLAN协议的定义。802.3ac标准仅定义了针对以太网特定的VLAN协议的实现细节。
如果存在的话,也被称作标签控制信息字段的4字节的VLAN标签,被插入到在源MAC地址字段和长度/类型字段之间的以太网帧中。VLAN标签的前2字节包含“802.IQ标签类型”并且总是被设置为值0x8100。值0x8100实际上是表示VLAN标签存在的保留长度/类型字段分配,并且发信号通知能进一步在帧中4字节偏移处找到传统的长度/类型字段。VLAN标签的后2个字节包含以下信息:
前3比特是用户优先级字段,其可以用于向以太网帧分配优先级。
接下来的1比特是在以太网帧中使用的规范格式指示器(CFI),以表示存在路由信息字段(RIF)。
后12比特是VLAN标识符(VID),其唯一地标识以太网帧所属于的VLAN。
通过增加VLAN标签,802.3ac标准允许以太网帧的最大长度从1518字节扩展到1522字节。以下例示了根据IEEE 802.3ac标准使用VLAN标识符“加了标签”的以太网帧的格式:
|前同步码(7字节)|帧起始分隔符(1字节)|目的MAC地址(6字节)|源MAC地址(6字节)|长度/类型=802.1Q标签类型(2字节)|标签控制信息(2字节)|长度/类型(2字节)|MAC客户机数据(0-n字节)|填充(0-p字节)|帧校验序列(4字节)|
根据1998年提出的用于吉比特以太网的802.3z标准,扩展字段被添加到以太网帧的末尾以保证它对于冲突来说将足够长以传播到网络中的所有站点。扩展字段按照需要被添加以使最小传输长度高达512字节(如从目的地址字段通过扩展字段测量的)。它仅被要求在半双工模式下,因为冲突协议不用于全双工模式。携带无用信息的非数据比特(其称作“扩展比特”)在扩展字段中被传送,其中该扩展字段扩展载波以继续最小要求时间。以下例示了具有添加的扩展字段的帧:
|前同步码(7字节)|帧起始分隔符(1字节)|目的MAC地址(6字节)|源MAC地址(6字节)|长度/类型(2字节)|MAC客户机数据(0-n字节)|填充(0-p字节)|帧校验序列(4字节)|扩展|
TCP/IP
TCP/IP使用IP地址,该地址是32比特的号码。为了更加易于记忆这样的IP地址,它们通常被表述为四个8比特号码(例如:192.168.10.1),其中四个号码中的每一个在‘0’到‘255’的范围内。对于所有四个号码在使用‘0’和‘255’上存在限制,并且应当避免使用这些值。当建立小型的专用网时,你自由地使用任何IP地址,然而,当你被连接到公司网络时,你需要请求网络管理员为你分配一个IP地址。并且如果你被连接到互联网,则你的ISP(互联网业务提供商)将为你分配一个IP地址。
DHCP(动态主机配置协议)
一启动,系统在网络上发出呼叫来寻找DHCP服务器,该服务器为这样的系统分配IP地址。IP地址通常不是永久地被分配,而是在特定时间(可能是几天、几周、几个月或者仅针对一次连接的互联网连接)被永久地分配。如果该系统在这个时间期间再次联系DHCP服务器,则在该IP地址上的‘租期’被延长。但是如果你度完长假回来,你的IP地址的‘租期’可能已经期满,那个IP地址现在可能已经被分配给其他人,并且你/你的计算机现在被分配新的IP地址。
系统具有IP地址,但是以太网板仅知道它们的以太网地址,因此TCP/IP配置系统一被接通,则它向网络告知它的存在:“喂,我在,我的以太网地址是‘08000b 0a0238’并且我的IP地址是‘192.168.10.2’”,并且网络上的每个TCP/IP系统建立具有所有这个信息的表格,其通常以15分钟的时间间隔被校验/验证。
如果你的系统现在需要与一个站点进行通信,对于该站点系统在它的IP/以太网地址的表格中不具有条目,它向每个人发出搜索消息(“广播消息”)如:“喂,我希望与IP地址‘192.168.10.4’进行通信,但是我不知道你的以太网地址。请识别你自己”。这引起系统使用所请求的IP地址来再次发出它的告知。
这些过程称作ARP(地址解析协议)和RARP(逆向地址解析协议)。
地址解析协议用于动态地发现层3(协议)地址和层2(硬件)地址之间的映射。典型使用是映射IP地址(例如,192.168.0.10)到下面的以太网地址(例如,01:02:03:04:05:06)。你将经常在会话的一开始看到ARP分组,因为ARP是发现这些地址的方式。ARP用于动态地建立和保持链路本地层2地址和层3地址之间的映射数据库。在一般情况下,这个表格用于映射以太网地址到IP地址。这个数据库称作ARP表格。这个表格中的动态条目经常被缓存最多达15分钟的超时时间,这意味着一旦主机对于一个IP地址已经ARP,其将在接下来的15分钟内、在它有时间为了那个地址再次ARP之前记住该IP地址。
网关/路由器
为了连接TCP/IP局域网到另一个TCP/IP LAN(其可能是完全的互联网)或者通过广域网(WAN),你现在需要一个称作网关或者路由器的设备。
EAP
IEEE 802.1x采用了扩展认证协议(EAP)作为交换认证消息的机制。EAP消息被封装在以太网LAN分组(LAN上的EAP,EAPOL)中以允许请求者和认证器之间的通信。
EAP-TLS(传输层安全)
EAP-TLS在RFC 2716中被定义为用于Windows XP中的802.1x客户机的安全方法。它提供了基于证书的客户机与网络的相互认证。它依赖于客户机侧和服务器侧的证书来执行认证;并且动态分配所产生的基于用户和基于会话的加密密钥来保护连接。动态加密密钥的相互认证和分配在共享媒体以太网环境(比如802.11无线LAN)中特别有意义。
EAP-TTLS(隧道传输层安全)
EAP-TTLS(在IETF草案中有所描述)是EAP-TLS的扩展,其仅要求服务器侧的证书,免去了为每个客户机配置证书的需要。TTLS提供额外的安全,用于传输用户证书和密码。它还支持传统口令协议,这样其可以被使用以作为现有认证系统(比如令牌环或者微软活动目录服务)的前端。
对于使用以太网类型连接的终端用户来说,向通过宽带接入网传递的多种业务的演进,增加了终端用户需要并且对于游戏者来说增加了做业务捆绑的商业机会,其用作一个点联系终端用户使其接入来自多个业务提供商的业务。
接入业务提供商(AccSP)向它的客户(包括终端用户、企业或者公司、应用与内容提供者)提供以下基本业务:
-接入,即,连到各种网络的可能性。
-连通性,即,以所要求的能力、速度、吞吐量、时延等连接到另外的用户或者业务的可能性。
-能达到性,即,向其他人提供连接到你的可能性,即提供公布标识符及适当的业务逻辑和互连业务。
-针对欺诈或者不希望的接入使用的安全性,欺诈或者不希望的接入使用包括侵入或者偷听。
AccSP将还依靠身份和信任供应,以便以适当的方式识别和处理它的客户关系,包括账目处理。
从基于IP和分组的角度,AccSP的基本提供是:
-接入权
-连通性
-能达到性
所有这些具有适当的安全等级。如果通过多点的接入被提供,则移动性成为连通性和能达到性的固有部分。
在一种极端情况下,被称作操作员工作室的AccSP提供所有业务。操作员工作室的主要资产是它与终端用户的直接关系。通过直接访问关于终端用户的所有必要知识,操作员工作室能创建好的业务提供并且还在所有方面上向客户提供最佳质量。
这不意味着操作员工作室将能够独立地产生市场(即不同种类的终端用户)所需的所有业务。而是其将与合作者(比如应用和内容提供商)一起提供完整的业务包。对于用户,也称作订户,操作员工作室然后提供单个接口并且充当集成器或者工作室。
使用当前的术语,你得到与操作员工作室最接近的术语是互联网业务提供商(ISP)。尽管实际上操作员工作室和ISP之间可能存在重大的差别,但是如这里的使用,两个术语可以被视作或多或少是等效的。因此,操作员工作室选择机制也可以被标注为ISP选择机制并且使用ISP如同使用操作员工作室一样可以同样很好地工作。
当前发明涉及称作灵活业务选择(FSS)的方法,参见公开出版的国际专利申请No.WO 2005/060208,其题目为“以太网DSL接入多路复用器和提供动态业务选择和终端用户配置的方法(Ethernet DSL access multiplexer and method providing dynamicservice selection and end-user configuration)”,其在这里引入以作为参考。
FSS使得可能在单个个人计算机(PC)上或者在用户驻地网(CPN)中的类似设备上同时运行来自不同应用业务提供商(ASP)的多个业务。不同业务可以通过不同网关被接入,这些网关具有不同的媒体访问控制(MAC)地址。假设PC或者类似设备只获得一个全球IP(互联网协议)地址,即它可以仅订阅一个ISP而不是几个ASP。
FSS的关键是使用DHCP(动态主机配置协议)选项121,该选项121允许业务根据目的地的IP地址被路由到不同网关。当PC通过DHCP请求IP地址时,它根据DHCP选项121获得答案,该选项121包括与用户已经订阅的业务相关的路由和网关信息。在PC不支持DHCP的选项121的情况下,DSLAM(数字用户线访问多路复用器,以太网)根据选项121必须探听信息以能够将上行流量映射到正确的虚拟局域网(VLAN)并且将其送往由DHCP服务器所指定的正确网关。VLAN是端口和终端站的逻辑分组,这样使得在VLAN中的所有端口和终端站看起来是在同一物理(或者延伸的)LAN段上,即使它们可能是地理上分开的。如上所述的,VLAN标识符包含标签控制信息字段的后12比特。
另一种相关解决方案是IP业务引擎(IPSE)。其中,它管理通过宽带远程接入服务器(BRAS)的用户业务流。IPSE可以处理三级用户认证:
-已认证的用户。当初次被连接时,已认证的用户需要提供登录名称和口令,该登录名称和口令由路由器网络元件,即BRAS,通常通过RADIUS协议使用外部认证服务器验证;
-未认证的用户。未认证的用户被准许与最小组的IP业务进行临时连接和会话。他们可以稍后被认证并且通过外部商业过程更加正式地登录。在以后确认用户登录期间,IPSE向所管理的路由器提供更加明确的业务和路由政策。
-永久用户。已经在路由器(BRAS)和IPSE中使用永久用户终端的MAC地址的标识对它们进行了预登记。创建会话来管理已经建立的连接,而无需任何明确的认证。
当与爱立信以太网DSLAM访问(EDA)网络耦合时,通过记忆VMAC(虚拟MAC)标识符或者根据DHCP的选项82的标识符,IPSE能动态地登记永久用户。VMAC地址是一个本地管理的MAC地址,其被分配给终端并且在宽带接入网中是本地唯一的。对于从终端发起的帧,网络将原始源MAC地址替换为分配给该终端的VMAC地址,以用于宽带接入网。对于发往终端的帧,在宽带接入网中网络使用分配给该终端的VMAC地址作为目的地址,但是在转发该帧到该终端之前将用该终端的MAC地址替换该VMAC地址。因此,所分配的VMAC地址“属于”并且标识终端,尽管终端本身从未看到VMAC地址或者不知道它的存在。
关于操作员工作室选择的又一种解决方案是IEEE 802.1X“基于端口的网络访问控制”标准。这个标准文档的附录C描述如何使用该标准和在局域网(LAN)上下文中的知晓VLAN的网桥。所描述的一种情形是用户何时能被缺省地连接到非认证VLAN以及在认证后能被重新分配到与已认证的业务相关的另一个VLAN。用户的网桥端口的VLAN配置因此被改变。不发生任何VLAN映射或者VLAN去标签。
当前解决方案不提供适当的操作员工作室选择机制,所述操作员工作室选择机制工作在所有接入情形下并且供在外部宽带接入网中漫游的用户使用。在这种情况下,在外部宽带接入网中漫游的用户是指访问与用户的归属(home)操作员工作室没有直接关系的接入网的用户。
FSS使得设备能够接入多个业务。然而,它确实假设仅一个ISP或者单个管理机构例如操作员工作室,了解关于终端用户可以接入的业务的全部知识。因此,在终端用户可以在几个“操作员工作室”或者ISP之间选择的情况下,不由FSS处理。此外,FSS方法多半不能供在外部宽带接入网中漫游的用户使用。
IPSE解决方案可以用作平台来创建操作员工作室选择。然而,它未描述认证、授权和计费(AAA)体系结构应当如何被设计来支持漫游用户并且它未解决与漫游到网络地址转换(NAT)后面的CPN中的用户相关的问题。而且,IPSE解决方案不允许多个用户连接到家用网关(RG)的同一端口,以选择不同的ISP,即使当它们没有通过NAT被连接时。而且,IPSE解决方案没有描述如何结合ISP选择对用户登录程序加以处理。
在标准文档IEEE 802.1X的附录C中使用非认证VLAN所描述的示例可以用作操作员工作室选择解决方案中的一个组成部分。然而,该示例没有描述总的解决方案来支持漫游用户和从NAT后面接入网络的用户。
发明内容
本发明提供在有多个操作员工作室连接的宽带接入网中由终端用户选择操作员工作室或者接入业务提供商的解决方案,其中操作员工作室、接入业务提供商在这里所使用的上下文中可以被视作或多或少与ISP相当。当多个操作员工作室被连接到同一宽带网络时,接入该网络的用户可能必须指示应当由哪个操作员工作室提供业务。这应用到动态建立的会话关联,即当与操作员工作室的关联不是永久地绑定到物理属性(比如接入端口)时,而是替代地作为用户登录或者业务接入程序的结果被创建。这个解决方案对于在他们归属网络中的用户和漫游用户都有效。对于接入他的归属宽带网络的用户来说,这意味着他必须指示他的归属操作员工作室。对于接入外部宽带网络的用户来说,这意味着他必须指示他的归属操作员工作室与之具有漫游协定的操作员工作室。
当前发明提出了既针对接入他的归属宽带网络的用户又针对当漫游用户正在接入外部宽带网络时的情况的操作员工作室或者AccSP选择的解决方案。当移动性被引入到宽带接入网中时,这是重要的机制。
用于操作员工作室选择的解决方案补充了FSS,因为它允许终端用户选择从哪个操作员工作室接入业务。FSS,即DHCP选项121,于是可以被所选操作员工作室使用来为终端用户设备提供针对不同应用业务的路由和网关(GW)信息。
操作员工作室选择解决方案进一步增加对访问外部宽带接入网的漫游终端用户的支持,以供该用户选择想要访问的操作员工作室。
本发明提供层2和层3解决方案机制。层2机制基于由用户认证程序所触发的适当VLAN的关联,可能由业务入口上的手工指示进行补充。层3机制基于网络中的终端和适当的一个或多个端点之间的IPsec(IP安全协议组,用于在IP层上提供安全业务的一组标准)隧道,其使用具有NAT穿过检测选项的IKEv2(互联网密钥交换版本2)和扩展认证协议(EAP)作为综合认证机制。
该解决方案足够全面以覆盖很多种接入情形,包括通过由宽带接入网提供的专用RG端口、非专用RG端口、归属WLAN接入点(AP)、归属NAT、以及公共WLAN AP接入宽带接入网。
将在以下描述中阐述本发明的额外的目的和好处,其中一部分将从说明中显而易见,或者可以通过实施本发明而认识到。可以借助于所附权利要求所特别指出的方法、过程、手段及其组合来实现和获得本发明的目的和好处。
附图说明
尽管在所附权利要求中对本发明的新颖特征进行具体阐述,但是从下面参照附图对非限制性实施例的具体描述的考虑中,可以获得对本发明关于结构和内容方面及其上述和其他特征的完整理解并且将更好地理解本发明,其中:
图1a是例示了用户设备或者用户终端通过宽带接入网接入多个业务提供网络之一的概略图,
图1b是类似图1a的还例示了认证实体或者单元的示意图,
图1c是宽带接入网架构的示意图,该示意图还例示了当连接到宽带接入网时用于用户设备或者终端的各种单元或者设备,
图2a是与操作员工作室选择相关的图1c的宽带接入网的一部分的更具体的示意图,
图2b是类似图2a的示意图,其中WLAN AP不支持虚拟AP,
图2c是类似图2a的示意图,其中终端通过具有NAT的路由器被连接到RG,
图2d是类似图2a的示意图,其中IPsec隧道经过BRAS并且终止在BRAS的本地VRF,
图2e是类似图2a的示意图,其中IPsec隧道经过BRAS中的专用VRF、操作员工作室、互联网并且终止在另一个操作员工作室的BAS,
图2f是类似图2a的示意图,其中IPsec隧道经过第一专用VRF和第二专用VRF直到与第二专用VRF相关联的操作员工作室的BAS,
图2g是类似图2a的示意图,其中IPsec隧道经过第一专用VRF直到IPsec隧道端点服务器,
图2h是类似图2g的示意图,其中IPsec隧道从终端经过连接在用户驻地网中的路由器、第一专用VRF,直到IPsec隧道端点服务器,
图2i是类似图2a的示意图,该图与在外部宽带接入网中漫游的用户相关,
图2j是类似图2i的示意图,该图与在WLAN AP不支持虚拟AP的情况下在外部宽带接入网中漫游的用户相关,
图2k是类似图2a的示意图,其中IPsec隧道经过第一专用VRF、直到用作IPsec隧道端点服务器的另一个专用VRF,
图3a是当终端经过CPN接入操作员工作室时执行的程序步骤的信号图,
图3b是在图3a的情况中使用的接入节点的示意框图,
图4a是类似图3a的信号图,用于终端通过支持虚拟AP的无线LAN接入点接入操作员工作室,
图4b是类似图4a的信号图,用于终端通过支持虚拟AP的无线LAN接入点接入业务入口以获得关于可用操作员工作室的信息,
图4c是在图4a和4b的情况中使用的无线接入节点的示意框图,
图4d是在图4a的情况中在宽带接入服务器中使用的认证客户机的示意框图,
图4e是在图4a的情况中在宽带接入服务器中使用的认证代理服务器的示意框图,
图4f是在图4a的情况中在无线接入节点的修正器单元99中执行的步骤的流程图,
图5是类似图3a的信号图,用于终端接入无线LAN接入点以请求/用于获取关于可用业务的信息,
图6a是类似图4a的信号图,用于终端经过不支持虚拟AP的无线LAN接入点接入操作员工作室,
图6b是在图6a的情况中使用的接入节点的示意框图,
图7a是类似图3a的信号图,用于终端使用IPsec隧道接入操作员工作室,该IPsec隧道在BRAS 17中具有公共端点,
图7b是针对IPsec隧道在BRAS中具有专用端点的类似图7a的信号图,
图7c是在图7a的情况中使用的终端的示意框图,
图7d是在图7a的情况中使用的本地虚拟路由器功能的示意框图,
图7e是在图7a或7b的情况中使用的专用虚拟路由器功能的示意框图,
图7f是针对IPsec隧道在操作员工作室的BAS中具有隧道端点的类似图7a的信号图,
图7g是当使用DHCP选项用于通知终端关于隧道端点地址时类似图7a的信号图,
图7h是在DHCP选项包括隧道端点的FQDN的情况下类似图7g的信号图,
图7i是在终端连接到具有NAT的路由器的情况下类似图7g的信号图,
图7j是在终端连接到具有NAT的路由器的情况下类似图7h的信号图,
图8a是类似图3a的信号图,用于漫游用户使用在用户终端中提供的专用软件接入外部操作员工作室,
图8b是在图8a的情况中在宽带接入服务器中使用的认证代理服务器的示意框图,
图8c是在图8a的情况中使用的终端的示意框图,
图8d是在图8a的情况中在操作员工作室中使用的认证服务器的示意框图,
图9a是类似图8a的信号图,用于漫游用户接入外部操作员工作室而不需要使用在用户终端中提供的任何专用软件,
图9b是类似图9a的信号图,用于其中也使用了EAP认证器的程序,
图9c是在图9a和9b的情况中在宽带接入服务器中使用的认证代理服务器的示意框图,
图9d是在图9a和9b的情况中在宽带接入服务器中使用的逻辑单元的示意框图,
图9e是在图9a和9b的情况中在操作员工作室中使用的认证服务器的示意框图,
图9f是在图9a和9b的情况中在操作员工作室中使用的业务入口的示意框图,以及
图9g是在图9a和9b的情况中可以用在操作员工作室中的认证服务器的示意框图。
具体实施方式
现在将描述包括用于操作员工作室选择的程序的系统和方法,其中所述操作员工作室选择包括层2机制和层3机制两者,层2机制即用于直接驱动硬件的基本方法、步骤和设备,层3机制即用于在网络级进行连接的基本方法、步骤和设备。
目标宽带接入网架构的总图
针对在此描述的方法和设备的网络环境通常包括操作员工作室3.1、3.2所连接到的宽带接入网29,并且其被设计通过使用连接到该宽带接入网的用户终端15来服务用户,或者通过宽带接入网来服务用户,见图1a。宽带接入网29是允许用户设备连接到其上并且允许在用户终端和操作员工作室之间有足够速率的数据通信的接入网,术语“宽带”仅指这一事实,即数据或者“内容”的通信在用户终端和操作员工作室之间应当有可能。在下面说明中操作员工作室可以被视作与不同业务提供网络相当。考虑仅通过他们自己的宽带接入网连接的用户。也考虑在其他接入网中或者通过其他接入网漫游的用户。在后一种情况中,用户仍旧被假定为具有他们自己的操作员工作室3h,该操作员工作室3h与连接到宽带接入网29的操作员工作室之一有一些关系。
连接到宽带接入服务器或者通过宽带接入服务器需要识别程序和认证程序,两者可能或多或少地相互结合。这样的识别程序可以由AAA标准提供并且基于以网络接入标识符(NAI)形式的各个用户身份,该标识符具有格式“namerealm(名称域名)”,见B.Aboba、M.Beadles在1999年1月提出在RFC 2486上的“网络接入标识符(The Network AccessIdentifier)”和B.Aboba等人在2005年12月提出在RFC 4282上的“网络接入标识符(TheNetwork Access Identifier)”。系统的一些部分也要求的认证程序,可以是扩展认证协议(EAP),见L.Blunk、J.Vollbrecht在1998年3月提出在RFC 2284上的“PPP扩展认证协议(EAP)(PPP Extensible Authentication Protocol(EAP))”和L.Blunk等人在2004年6月提出在IETF的EAP工作组的RFC 3748上的“扩展认证协议(EAP)(Extensible AuthenticationProtocol(EAP))”,并且于是用于EAP的载波可以被假定根据标准IEEE 802.IX-2001“基于端口的网络接入控制(Port-Based Network Access Control)”进行设计。图1b中例示了用于识别/认证程序中的一些部件。这样,宽带接入网可以包括接入服务器,这里称作BRAS(宽带远程接入服务器)17,该BRAS 17包括认证客户机单元,比如AAA客户机23。认证代理服务器,比如AAA代理服务器27,可以被连接到BRAS或者在BRAS中并且可以与认证客户机单元进行通信。操作员工作室3.1、3.2、3h每个可以具有一个接入服务器,这里称作宽带接入服务器(BAS)19、19h,其包括认证客户机单元,比如AAA客户机37、37h。这些认证客户机单元的每一个可以与认证单元进行通信,认证单元也称作认证服务器,比如各个操作员工作室的AAA服务器31、31h,并且在包括代理服务器的情况下,通信通过代理服务器27。
在订阅仍旧能与家的物理属性绑定的意义上来看(例如家中或用户驻地的家用网关1(RG)所连接的通信端口,见图1c),订阅的传统概念在宽带网络中被再次使用。使用现有的层2机制将所订阅的业务传递到RG 1,即经过操作员工作室3.1、3.2,并且可能经过业务、VLAN分离、MAC强制转发(MAC-FF)(见T.Melsen和S.Blake在2004年8月在IETF个人互联网草案(Personal Internet-Draft)<draft-melsen-mac-forcedfwd-03.txt>上提出的“MAC强制转发:一种用于以太网接入网上的业务分离的方法(MAC-Forced Forwarding:A Methodfor Traffic Separation on an Ethernet Access Network)”)、虚拟MAC(见MichaelBegley提出在爱立信备忘录(Ericsson Review)No.1 2004上的“公共以太网-下一代宽带接入网(The Public Ethernet-The next-generation broadband access network)”)、或者抗欺骗地址滤波等等。专用于特定操作员工作室3.1、3.2的VLAN在下文中称作业务VLAN或者操作员工作室VLAN。
覆盖在这些机制上,对于各个用户还有可能基于他们的用户身份,即他们的NAI,接收业务。在这种情况中,作为用户登录程序的结果,动态地建立了适当的VLAN关联,然而对于被传递到特定RG 1的业务,基于物理属性比如通信端口,这些关联是永久的或者半永久的。基于NAI的业务传递被要求允许漫游。
为了允许在除用户的家里之外另一个位置上进行基于量的流量付费,其中“家”由用户的订阅所定义,也为了允许对从订户发起的流量进行合法目的的跟踪,则要求清楚地识别由宽带接入网中的用户发起的流量源。因此,每个用户的流量必须与其他用户的流量分离。在宽带接入网中用于完成这种分离的基本方法是结合VLAN、MAC-FF和虚拟MAC或者抗欺骗地址滤波中的层2机制。这应用到所连接的用户驻地网5(CPN)和所连接的WLAN(无线局域网)AP 7两者。然而,其中用户通过常规的局域网比如CPN 5被连接的情况与其中用户通过无线局域网9被连接的情况之间,即CPN情况与WLAN AP情况之间,还存在许多差别:
-对于不同的操作员工作室,总能通过WLAN AP 7获得所有可应用的业务VLAN,然而在CPN情况下,适当的业务VLAN对于基于NAI的会话,在需要时是动态可用的,而对于(半)永久关联,在订阅时间是可用的。
-对于WLAN AP 7,业务VLAN分离通常经过无线电接口通过与单独服务集合标识符(SSID)的关联被扩展,而在CPN情况下,每个RG端口11可以通过到接入节点13(AN)的ATMPVC(永久虚拟电路)或者VLAN与业务VLAN相关联。然而,不支持多个SSID的WLAN AP 7也可以用于在此描述的方法和系统中。
-对于WLAN AP 7,在无线电接口上的流量分离使用根据2004年制定的标准文档IEEE 802.1 11i“介质访问控制(MAC)安全增强(Medium Access Control(MAC)SecurityEnhancements)”的密码机制来获得,而在CPN 5中的流量分离,当可应用时,通过使用分离的RG端口11(即针对每个用户终端15或者可能每组用户终端的一个单独端口)来获得。
然而,在基于层2的流量分离方法中,当所考虑的用户终端15漫游到CPN 5中时,其必须连接到RG 1的单独端口11。这可能在其中终端15、15’通过WLAN AP和/或NAT正常地连接到RG的那些情况下是不方便的,其在图中未示出。而且,在一些情况下,RG上的单独端口甚至是不可用的。因此,也可以使用基于层3的方法,所述方法基于具有源完整性和重放保护的IPsec隧道。这样的方法加密地将流量绑定到各个用户或者各个终端15、15’。在如这里所描述的系统和方法中,可以考虑两种基本选择用作IPsec隧道的远程端点,这些选择包括宽带远程接入服务器17和宽带接入服务器(BAS)19。
在此描述的各种方法可以更具体地例如在如图1c中所示出的宽带接入网的架构中被执行,尽管这些方法还可以被应用到所示出的架构的多种变化中。首先,示出了宽带接入网29中的相关节点和AAA实体的位置。WLAN AP 7和BRAS 17之间的接入节点13’可能不需要。这取决于所要求的AN功能性,例如用于流量分离的机制,是否可以由WLAN AP 7来处理。对在BRAS 17中拥有AAA客户机23的一种替换是在每个AN中拥有一个AAA客户机23’。在此描述的一般情况下,并且从图1b和1c中可以看到,AAA客户机23位于BRAS 17中。这个AAA客户机23用于通过宽带接入网中的CPN 5的所有接入。它在BRAS 17中的位置支持层2上VLAN、MAC-FF、虚拟MAC或者抗欺骗地址滤波和层3上IPsec隧道的流量分离。AAA客户机25还位于每个WLAN AP 7中。这个位置支持层2上的流量分离,在WLAN AP 7和BRAS 17之间的无线电接口、VLAN、MAC-FF以及抗欺骗地址滤波上使用所提议的标准IEEE 802.11i,利用了这样的事实,即用于公共接入的许多WLAN AP 7使AAA客户机25被实现。
BRAS 17还具有内部AAA服务器27或者被连接到外部AAA服务器(未示出)。这个AAA服务器27用作AAA代理服务器。它促进了由宽带接入网29来服务多个操作员工作室3.1、3.2,并且除过由用户选择的操作员工作室所应用的AAA策略,允许宽带接入网的操作员应用它自己的AAA策略。处于BRAS 17中的AAA服务器27或者可能仅被连接到BRAS 17的AAA服务器27与宽带接入网29所服务的每个操作员工作室3.1、3.2中的AAA服务器31有关系。
因此,实际上认证和授权用户的AAA服务器31位于操作员工作室3.1、3.2中,因为操作员工作室“拥有”订户并且管理订阅。
操作员工作室3.1、3.2还具有宽带接入服务器19(BAS),用于传递例如在服务器34上可用的业务33,以及互联网流量,服务器34由操作员工作室的操作员或者由各个业务提供商运行,见条目35。在BAS 19中可能存在AAA客户机37,用于与操作员工作室3.1、3.2的AAA服务器31进行通信,来进行认证和授权以及传递业务到在其他网络中漫游的用户,以及如果使用了层3业务分离方法有可能个别传递业务给宽带接入网29中的用户。
在不同的AAA节点之间即AAA服务器31和客户机23、23’、25、37之间所使用的AAA协议,通常被假定为RADIUS,见C.Rigney等人在2000年6月在RFC 2865上提出的“用户业务上的远程认证拨入(Remote Authentication Dial In User Service(RADIUS)”以及B.Aboba和P.Calhoun在2003年9月在RFC 3579上提出的“RADIUS(Remote Authentication Dial InUser Service)Support For Extensible Authentication Protocol(EAP)(RADIUS(用户业务上的远程认证拨入)支持扩展认证协议(EAP))”。AAA协议可以可选地是Diameter,见P.Calhoun、J.Loughney、E.Guttman、G.Zorn和J.Arkko在2003年9月提出在RFC 3588上的“Diameter Base Protocol(基于Diameter的协议)”,以及P.Eronen、Ed.、T.Hiller、G.Zorn在2003年10月在IETF的互联网草案<draft-ietf-aaa-eap-03.txt>中的“DiameterExtensible Authentication Protocol(EAP)Application(Diameter扩展认证协议(EAP)应用)”。这两个协议都可以传递EAP分组。同样,可以使用能传递EAP分组的任何其他AAA协议。然而,对于这里所描述的方法和系统的全部部分不要求EAP,其中AAA协议还可以是不能传递EAP分组的一些适当的协议。
除了通过操作员工作室3.1、3.2提供的业务33之外,宽度接入网29可以例如基于连接到本地业务网络的服务器提供本地业务,其中本地业务网络连接到BRAS 17,参见例如下面关于图2a的描述。这样的本地业务通常被免费传递给宽带接入网的所有用户,包括漫游用户。
操作员工作室选择概述
假定用户具有“归属操作员工作室”和“归属接入网”,后者也称作“归属宽带网络”或者可能是“归属宽带接入网”,归属接入网意味着这样的宽带接入网,通过该宽带接入网可以直接到达用户的归属操作员工作室,即无需使用例如与用户的归属操作员工作室具有漫游协定的另一操作员工作室。通过提供到归属操作员工作室的连接,归属宽带接入网因此服务用户的归属操作员工作室,并且被假定与用户的归属操作员工作室具有服务协定。
当多个操作员工作室3.1、3.2被连接到同一宽带接入网29时,接入宽带接入网的用户必须指示可用操作员工作室之一来提供业务。
对于接入他的归属宽带接入网的用户来说,这意味着用户必须指示他的归属操作员工作室。对于接入外部宽带接入网(即用户的归属操作员工作室与其没有关系的宽带接入网)的用户来说,意味着用户必须指示他的归属操作员工作室与其具有漫游协定的操作员工作室。
图2a是宽带接入网的那些部分的更具体的视图,那些部分在第一种情况下与操作员工作室选择有关。应当强调的是,在图2a中以及还在图2b-2k中所描绘的架构的细节,应当被看作示例实施例。可能有各种变化,但都遵从在此描述的方法和系统的基本原理。然而,图2a也是简化例示。例如,BRAS 17的AAA服务器27受到安全装置(比如防火墙等)(未示出)的有利保护。
描绘了两种业务VLAN,VLAN No.1,41.1和VLAN No.2,41.2,每个分别与自己的操作员工作室No.1,3.1,和No.2,3.2相关联。其他两个VLAN是本地VLAN,即用于用户认证的本地缺省VLAN 43和本地WLAN AP VLAN 45,仅由本地缺省VLAN 43执行来进行操作员工作室选择和接入本地业务,本地业务即由BRAS 17直接提供的业务。
BRAS 17的VRF(虚拟路由器功能)No.1,47.1和VRF No.2,47.2每个分别专用于单个操作员工作室3.1、3.2。BRAS 17的本地VRF 49在操作员工作室选择机制中具有中心地位,例如在处理认证中和在用于处理IPsec隧道的一些情况下。VRF是互连的,比如在互联VRF网络52中被互连。
被连接到BRAS 17或者处于BRAS 17中的并且也可以连接到互联VRF网络52或者包括互联VRF网络52的本地业务网络51,可以有利地具有多个VLAN(未示出),这些VLAN被配置以便将VRF No.1,47.1和VRF No.2,47.2相互隔离,当可应用时将服务器(例如本地服务器53)相互隔离等。在该简化示意图中,示出BRAS 17的AAA服务器27连接到与本地服务器53相同的本地业务网络51。然而,如果这个AAA服务器27被连接到由更严格的安全措施(未示出)所环绕的单独网络可能是有利的。至少,通过具有由VLAN执行的隔离,BRAS 17的AAA服务器27应当从未认证接入被隔离和保护(未示出)。本地VRF 49应当根据D.McPherson和B.Dykes在2001年2月提出在RFC 3069上的“用于有效IP地址分配的VLAN集合(VLAN Aggregationfor Efficient IP Address Allocation)”优选地使用VLAN集合,以用于本地业务网络51,以及在其中它可以被划分的VLAN,从而可以使用经过本地业务网络51和/或互联VRF网络52的来自所有其他VRF的同一IP地址来到达本地VRF。然而,在图中没有示出用于BRAS内部网络(比如本地业务网络51和互联VRF网络52)的这些VLAN。
操作员工作室选择方法可以处理的两种主要情况为:
-用户接入他的归属宽带接入网,即被连接到用户的归属操作员工作室的宽带接入网。
-用户接入外部宽带接入网,即与用户的归属操作员工作室没有关系的宽带接入网。
归属宽带接入网中的操作员工作室选择
操作员工作室选择对于CPN 5中的所有用户或者设备来说不适用于普通业务,比如在CPN的RG端口11永久地或者半永久地与用户的归属操作员工作室相关联的情况下。在那种情况下,已经通过永久或者半永久关联“选择”了归属操作员工作室。这里仅讨论通过会话动态建立的关联。
应当在归属宽带接入网中考虑的情况包括:
-用户通过CPN 5接入他的归属操作员工作室,该CPN 5被连接到/在她/他的归属宽带接入网中。
-用户通过WLAN AP 7接入他的归属操作员工作室,该WLAN AP 7被连接在她/他的归属宽带接入网中。
-用户通过IPsec隧道接入他的归属操作员工作室,该IPsec隧道通过她/他的归属宽带接入网被建立。
通过CPN接入
在这里所讨论的情况下以及当不存在从用户终端15发起的有效会话时,在CPN 5中的RG 1的RG端口11的RG端口VLAN 55缺省地与本地缺省VLAN 43相关联。这种关联被内在地用作AN 13中的逻辑连接,RG 1连接到该AN13。VLAN与另一个VLAN相关联,这通常意味着VLAN通过节点,比如通过节点中的表格中的表格条目,被逻辑地连接,从而VLAN之一中的帧被自动传送到其他VLAN。通常,可能因此通过例如AN中的存储器单元(未示出)的内容提供这样的关联的某些指示。这样,当用户连接到RG端口11时,本地缺省VLAN 43是用户可以达到的所有,即在这种情况下,在AN 13中接收的来自RG端口11的帧还被自动传送到本地缺省VLAN。在这些用户被认证之前,根据标准文档IEEE 802.1X的程序将不允许与用户终端15进行任何其他通信,除了向宽带接入网29发送和接收在EAP分组中携带的消息,或者在与登录程序有关的其他分组中携带的消息,以用于接入操作员工作室No.1或2、3.1或3.2,在使用了不同于IEEE 802.1X上的EAP的认证方法的情况下,这样的分组例如为PPPoE分组,见L.Mamakos等人在1999年2月在RFC 2516上提出的“A Method for Transmitting PPP overEthernet(PPPoE)(用于通过以太网传送PPP(PPPoE)的方法)”。根据标准文档IEEE 802.IX,使用某些认证器功能或者在图2a中的BRAS 17中的56处被象征性地表示出的单元,从用户终端15发送的任何以太网帧将触发本地VRF 43向终端发起EAP认证程序。
在EAP程序期间,本地VRF 43将EAP分组中继到BRAS 17的AAA客户机23,AAA客户机23转发它们到BRAS的AAA代理服务器27。AAA代理服务器27检查用户在EAP身份响应(EAP-Identity-Response)消息中提供的NAI的域部分,以便确定对EAP程序做什么,即来确定它将被指向到的AAA服务器,或者在用户想要仅接入到本地业务网络51的情况下确定它是否对其进行内部处理。归属域是用户与之保持帐户关系的管理域并且本地域是向用户提供业务的管理域。管理域可以用作一些用户的本地域,而对于其他用户来说是归属域。网络接入标识符(NAI)用于Diameter协议来提取用户的身份和域。该身份在认证和/或授权期间用于识别用户,而用户的域用于消息路由目的。在符号之前的NAI中的字符串是名字部分并且给出用户的身份,即“用户名”。紧跟着符号的NAI中的字符串是保持NAI域名的域部分。要求NAI域名是唯一的。采用Diameter或者RADIUS协议的AAA实体使用由域部分定义的域(域部分不精确地也称作域)来确定来自用户的或者去往用户的消息是否能在AAA实体中被本地地满足,或者它们是否必须被路由到或者重新指向另外的AAA实体。在这里所考虑的情况中,用户接入他的归属宽带接入网29并且NAI的域部分表示用户的归属操作员工作室,即操作员工作室No.1,3.1或者操作员工作室No.2,3.2。NAI的一个例子是“happy-userop-shop”。对于这个NAI,AAA代理服务器27将在AAA客户机23和由该NAI指示的操作员工作室的AAA服务器31之间中继AAA分组,在这个例子中操作员工作室为操作员工作室No.1,3.1。因此,已经选择了操作员工作室No.1,3.1。
在成功认证之后,BRAS 17以适当的方式指示有关的AN 13,例如通过简单网络管理协议(SNMP),见D.Harrington等人在2002年12月在RFC 3411上提出的“An Architecturefor Describing Simple Network Management Protocol(SNMP)Management Frameworks(用于描述简单网络管理协议(SNMP)管理框架的架构)”,或者BRAS可以用来控制AN的某一其他协议,来将有关的RG端口VLAN 55与VLAN No.1,41.1,而不是与本地缺省VLAN 43关联。于是用户可以通过他的终端15使用DHCP继续获取IP地址以使得能够进行随后的IP通信。为了使BRAS 17知道要指示哪个AN 13,必须使用虚拟MAC。EAP程序本身不向BRAS 17提供关于在该程序中包括哪个AN 13的任何信息。而且,AN 13和BRAS 17之间的以太网网络基础结构不允许BRAS跟踪所考虑的帧已经从其到达的那个节点。此外,用户终端15的(原始)源MAC地址不携带位置或者拓扑信息。因此,为了使BRAS 17知道要指示哪个AN 13,AN必须使用表示可靠AN的虚拟MAC地址替换用户终端15的原始源MAC地址。为了保证BRAS 17可以辨别虚拟MAC地址属于哪个AN 13,不同的AN被分配虚拟MAC地址范围的不同部分。
而AAA客户机可以位于AN中,见图1的条目23’,并且于是本地缺省VLAN 43和虚拟MAC地址都不需要用于此目的。
如果希望只接入到本地业务网络51,则用户可以提供域部分属于宽带接入网29的特定NAI,专用于此目的。用户可以通过离线装置或者其他机制获得它,如下所述,其他机制用于通知用户可用的操作员工作室。AN 13于是可以在有关RG端口VLAN 55和本地缺省VLAN43之间保持它的关联。
对于AAA客户机23位于BRAS 17中的情况,以下参照图3a的信号图对接入操作员工作室3.1、3.2的不同步骤进行概述。假定用户登录到终端15上的CPN 5,其中终端15具有MAC地址并且具体地连接到RG 1的特定端口11,用户也由这个特定端口来识别。
1、例如通过用户简单地开启他的终端设备,用户将她/他的终端15连接到宽带接入网,该终端设备假定连接到RG端口11。然后,终端15发送EAPOL启动分组(EAPOL-Start-packet)到“端口接入实体(PAE)”的组播地址,其在IEEE 802.1X规范中被称作“PAE群地址”,这个规范定义PAE为处理面向终端的认证程序并且包含“EAP认证器”的单元。EAP认证器被定义为在EAP程序中与终端15通信的单元,并且EAP认证器可以象征性地表示为图2中的单元56。PAE保持一个列表,该列表以某种方式定义允许通过的帧。如果有,则这些帧可以由帧报头中的类型字段的特定允许值或者包括在该帧中的高层分组的特定允许属性(比如目的IP地址或者目的UDP端口号)来定义,其他帧被阻止,因为相应用户未被认证。如果终端15发送包含不是EAPOL启动分组的其他分组的帧,则EAP认证器56/PAE/本地VRF 49将截取该帧并且通过向终端发送EAP身份请求(EAP-Identity-Request)分组向终端发起EAP程序。
2、来自终端15的一个或多个帧通过家用网关1或者AN 13中的交换机被接收并且被重新加标签以发送到本地缺省VLAN 43,VMAC地址也被引入到帧中,VMAC地址识别终端15和AN。所分配的VMAC地址主要识别终端15,但是如上所述,通过将虚拟MAC地址范围的不同部分分配给不同的AN,它还可以识别AN 13。
3、来自终端15的重新加标签的一个或多个帧在BRAS 17的本地VRF 49中被接收。EAPOL启动分组可以具体地由EAP认证器(即在本地VRF 49中的或者连接到本地VRF 49中的PAE)接收。如果接收到包括未认证的MAC地址或者VMAC地址的帧,则检测到了新用户,帧被截取并且由EAP认证器(比如单元56)来处理。
4、本地VRF 49中的EAP认证器向终端15发送EAP身份请求。
5、终端15使用EAP身份响应作出响应,该响应包括如上所述的NAI形式的用户身份。
6、EAP认证器56将EAP身份响应传送给位于BRAS 17内部的AAA客户机功能23。
7、AAA客户机23将EAP身份响应包含在AAA消息中并且发送该AAA消息给AAA代理服务器27,AAA代理服务器27可以是所示的BRAS 17的一部分,或者可能与BRAS共处。
8、使用上面的例子,通过检索和检查NAI的域部分,AAA代理服务器27认识到所需要的是操作员工作室No.1,3.1,其指示用户的归属操作员工作室,由用户在EAP身份响应分组中以及在AAA消息中的用户名属性中提供。因此,AAA代理服务器27可以发现用户名属性中的NAI,但是理论上它也可以从封装在AAA消息中的EAP身份请求中提取该NAI。另外,Diameter客户机,即使用Diameter协议的AAA客户机,也在目的域属性中插入NAI的域部分,AAA代理服务器27于是可以使用其来识别所希望的操作员工作室。AAA代理服务器27发送AAA请求给操作员工作室No.1,3.1中的AAA服务器31。
9、通过AAA代理服务器27和BRAS 17中的AAA客户机23,执行操作员工作室No.1,3.1中的AAA服务器31和用户终端15之间EAP认证程序。在终端15和认证服务器之间对EAP认证程序进行端到端的处理,其中认证服务器是操作员工作室No.1,3.1的AAA服务器31。在BRAS 17的AAA客户机23和AAA服务器31之间,EAP分组被封装在AAA消息中。
10、BRAS 17包括逻辑功能单元57(LU),该单元获得AAA程序已经完成并且操作员工作室已经被选择的消息。是这样完成的:由所选的操作员工作室的AAA服务器31在认证程序已经成功完成之后通过AAA消息通知AAA客户机23,AAA客户机23进而又通知所述逻辑功能57,并且由于AAA代理服务器27也通过同一AAA消息被通知,AAA代理服务器还可以是通知所述逻辑功能的服务器。逻辑功能单元57指示AN 13来改变VLAN之间的现有关联,使用终端15的VMAC地址来发现正确的AN 13。VMAC地址是本地管理的MAC地址,其被分配给终端15并且在宽带接入网中本地唯一的。因此所分配的VMAC地址“属于”并且标识终端15,尽管终端本身从未看到该VMAC地址或者不知道它的存在。如上所述,通过将VMAC地址范围的不同部分分配给不同的AN,分配给终端15的VMAC地址也可以用于识别分配它给终端的AN 13。关于所选操作员工作室的信息在BRAS 17中明显可用的并且上面的程序可以以各种方式来执行,比如:
a)当AAA代理服务器27识别出所选的操作员工作室时,它通知BRAS 17的一些其他部分(例如LU 57)所做的选择以及它有关的VMAC地址,在后种情况中要求AAA客户机23在AAA消息中包括终端15的VMAC地址。LU 57可以接收NAI域部分或者某些其他BRAS内部标识符形式的操作员工作室选择信息,AAA代理服务器27已经将域部分转化成为该内部标识符。然后在指示AN 13对特定VLAN进行关联之前,LU 57仅必须等待成功用户认证的通知。
b)AAA客户机23或者EAP认证器(比如单元56),甚至在传送第一AAA消息到AAA代理服务器27之前,传送NAI的域部分和VMAC地址到BRAS 17的一些其他部分,例如LU 57。然后,LU 57仅必须等待成功用户认证的指示。
c)在AAA客户机23从所选操作员工作室中的AAA服务器31通过AAA代理服务器27接收到包括成功用户认证的指示的AAA消息之后,它例如以指示所选操作员工作室的NAI的域部分、或者某些其他BRAS内部标识符的形式,通知BRAS 17的某些其他部分(例如LU 57)关于终端15的VMAC地址和所选的操作员工作室。然后,如果需要或者希望的话,LU 57可以分别将NAI的域部分或者其他BRAS内部标识符转换成特定BRAS内部标识符,例如VLAN ID。
d)当AAA代理服务器27从所选的操作员工作室的AAA服务器31接收到包括成功用户认证指示的AAA消息时,它通知例如LU 57关于终端15的VMAC地址,这要求AAA客户机23先前在AAA消息中包括VMAC地址,以及与这个VMAC地址相关联的所选操作员工作室。所选操作员工作室于是可以表示为FQDN(完全合格域名),即NAI的域部分,或者表示为标识操作员工作室的BRAS内部标识符。AAA代理服务器27当然还应当将AAA消息转发给AAA客户机23。
11、AN 13接收指示消息,比如“将VMAC X的RG端口VLAN与VLAN No.1相关联”,其中分配给终端15的VMAC地址表示为“X”,RG端口VLAN是RG端口11的VLAN 55,由VMAC X标识的终端被连接到该RG端口VLAN并且假定用户想要接入到操作员工作室No.1,3.1。AN 13因此改变VLAN的标签使得来自有关RG端口VLAN 55的帧被加标签用于VLAN No.1而不是被加标签用于本地缺省VLAN。它可以例如通过AN改变VLAN关联表格中或者通常一些数据结构中的记录来完成,其中AN使用所述数据结构来跟踪VLAN之间的关联。本领域的技术人员可以以显而易见的多种方式来实现这样的数据结构。
12、在用户已经被认证之后,终端15可以继续获取IP地址。它将是来自操作员工作室No.1,3.1的地址范围的IP地址。IP地址由适当的地址服务器(比如例如位于BAS 19中的操作员工作室No.1,3.1的DHCP服务器59)来提供。在这个程序中,在BRAS 17中的各个地址服务器,DHCP服务器61.1将用作中继代理用于执行地址的分配,即进行DHCP。在这种情况中,用作DCHP中继代理的地址服务器与VRF No.1,47.1相关联,用于操作员工作室No.1,3.1。可选地,BRAS 17中的DHCP服务器61.1可以从操作员工作室No.1,3.1的地址范围中为终端15直接分配IP地址。这要求已经为BRAS 17中的DHCP服务器61.1提供了来自操作员工作室No.1,3.1的地址范围的地址池。
13、在终端15已经被提供IP地址之后,用户可以使用TCP/IP通过VLAN No.1,41.1、VRF No.1,47.1以及操作员工作室No.1的BAS 19启动流量。例如,用户可以接收操作员工作室No.1的BAS 19的网页。这样的网页可以显示可通过操作员工作室No.1接入的业务。这可以通过例如用户的浏览器来获得,浏览器将所选操作员工作室的网页设置为其开始页面,这是当对这个操作员工作室的订阅达成一致意见时,由用户根据来自操作员工作室的指示人工配置的。如图1所示,业务可以包括接入互联网,以及由特定业务提供商从一个或多个业务服务器34提供的业务33。
AN 13在这种情况中可以具有执行操作员工作室选择和接入所需的至少以下模块/部件/功能,见图3b:
-VLAN处理器71,包括用于接收改变关联的指示和因此改变关联的子模块73。
-VLAN关联表格,见下面的表格1中的例子,存储在存储器77中的存储位置75。
-VMAC地址处理器79,包括用于在MAC和VMAC之间进行转换的单元。
-VMAC地址表格,其存储在存储器77的存储位置81中。
-存储在存储器77的存储位置83中的MAC地址到IP地址表格。
表格1中给出了VLAN关联表格的结构的例子。
表格1.N个不同RG端口的VLAN关联表格
用户驻地侧的VLAN 网络侧的VLAN
RG端口VLAN No.1 VLAN No.1
RG端口VLAN No.2 VLAN No.1
RG端口VLAN No.3 本地缺省VLAN
RG端口VLAN No.4 VLAN No.2
: :
: :
RG端口VLAN No.N VLAN No.1
BRAS 17可以具有执行操作员工作室接入所需的至少以下模块/部件/功能,见图2a:
-BRAS内部网络,比如互联VRF网络52,包括到本地业务网络51的连接或者包括本地业务网络51。
-连接到BRAS内部网络的本地VRF 49。
-EAP认证器/PAE,比如单元56。
-AAA客户机23,直接连接到本地VRF 49和AAA代理服务器27。
-AAA代理服务器27,连接到BRAS内部网络并且连接到操作员工作室No.1和2,3.1和3.2中的AAA服务器31。
-专用VRF No.1,47.1,连接到BRAS内部网络中,用于路由仅到操作员工作室No.1,3.1和来自操作员工作室No.1,3.1的流量,当业务可以被不同地路由时的情况例外。VRFNo.1用作宽带接入网29中的操作员工作室No.1的接入路由器。从操作员工作室No.1,3.1的角度,VRF No.1看起来象操作员工作室No.1的自己网络的一部分或者连接在操作员工作室No.1的自己网络中。
-专用VRF No.2,47.2,连接在BRAS内部网络中,用于路由仅到操作员工作室No.2,3.2或者来自操作员工作室No.2,3.2的流量,当流量可以被不同地路由时的特定情况例外。
-关联指示单元或者逻辑功能单元LU 57,用于监视AAA程序和用于指示AN 13来改变VLAN之间的关联。
-针对操作员工作室No.1的DHCP服务器61.1。
-针对操作员工作室No.2的DHCP服务器61.2。
通过WLAN AP接入,支持虚拟AP概念
首先可以假定WLAN AP 7支持虚拟AP(vAP)概念,即它具有能力或者包括在单个物理AP中仿真多个逻辑AP的功能,见图2a。在这样的情况下,连接到宽带接入网29的每个操作员工作室3.1,3.2也被假定具有“其自己的”逻辑AP 63.1,63.2,所述逻辑AP 63.1,63.2具有在来自AP的以信标消息被广播的专用SSID。这样的逻辑AP可以是结合在WLAN AP 7中的单元,该单元包括例如用于处理虚拟AP的单元和具有用于存储所要求的数据的存储空间的存储器,比如适当列表(未示出),参见下面。而且,WLAN AP 7将每个操作员工作室SSID与专用于各个操作员工作室的VLAN 41.1,41.2关联,这样来自与特定SSID有关的已认证用户的所有业务被传送到相关联的VLAN,并且反之亦然。WLAN AP 7也具有自己的或者本地的逻辑AP 65和与本地WLANAP VLAN 45相关联的相应的SSID,其允许用户接入本地业务网络51。在图2a中,操作员工作室No.1和2的SSID分别表示为“SSID 1”和“SSID 2”,并且本地WLAN APVLAN 45的SSID表示为“SSID本地”。
当通过支持虚拟AP概念的WLAN AP 7接入到宽带接入网29时,用户必须选择与他的归属操作员工作室相关联的SSID,这是通过WLANAP可用的操作员工作室3.1,3.2之一,见图4a的信号图,或者选择与用于传递公共可用业务的本地WLAN AP VLAN 45相关联的SSID,见图4b的信号图。SSID优选地可以是容易被人们解释的字符串,例如想要的操作员工作室的名称或者它的域FQDN(完全合格域名)。然后,终端15’可以扫描广播SSID并且向终端的用户提供结果,用户然后可以手工选择属于他的归属操作员工作室的那个SSID。也有可能配置终端来搜索和附连到(即关联到)特定的SSID。
如果对于用户选择操作员工作室来说,SSID信息不是足够的,即要选择SSID之一,他可能附连到(即关联)与本地WLAN AP VLAN相关联的SSID并且在手工选择与操作员工作室3.1,3.2关联的SSID之一之前从业务入口54获得关于可用操作员工作室和它们的关联SSID的更多信息,见图4b。在本地WLAN AP VLAN 45中,允许用户接入并且可以无需先验用户认证而获取IP地址。
当用户使用从那些与可用操作员工作室3.1、3.2相关联的SSID中所选的SSID附连到WLAN AP 7时,得自EAP认证程序的AAA请求通过BRAS AAA代理服务器27被路由到与该SSID相关联的操作员工作室3.1或者3.2,而不管终端15’提供什么NAI。如果NAI在域部分中不指示与所选SSID相关联的操作员工作室,那么WLAN AP 7可以要么拒绝接入请求要么强制将AAA请求路由到与所选SSID相关联的操作员工作室。为了强制将AAA请求路由到与所选SSID相关联的操作员工作室3.1或者3.2,不管在NAI中指示的另一个域,WLAN AP 7要么可以将所接收的NAI修改成包括中间网络域的扩展格式,要么以某种适当方式传送所选SSID,例如包括在卖方特定AAA属性中,比如使用一些适当的协议扩展。在后一种情况下,如果SSID以某种方式(比如在AAA属性中)被传送到AAA代理服务器27,则AAA代理服务器将使用SSID,而不是NAI的域部分,来将AAA消息送往所选操作员工作室的AAA服务器31,这要求AAA客户机25和AAA代理服务器被提供相应的附加功能,见图4d和4e。在前一种情况下,称作扩展NAI方法,扩展的NAI具有通用格式:
“home-realm/nameintermediate-realm”或者
“home-realm!nameintermediate-realm”,
其中“home-realm”是归属网络/归属操作员工作室的域,“intermediate-realm”是所选中间网络/中间操作员工作室的域,并且“name”是用户的用户名。字段或者名称分隔符“/”或者“!”或者可能的一些其他适当符号或者字符用于区分“额外”域和用户名称,在这种情况中,“额外”域是原始域。这样的扩展NAI已经被WLAN漫游代理iPass使用并且已经计划将它们用于3GPP-WLAN互联。在这种特定情况中,WLAN AP将所接收的NAI修改成的扩展NAI的格式将是:
“realm-supplied-in-NAI/nameop-shop-realm-associated-with-selected-SSID”或者
“realm-supplied-in-NAI!nameop-shop-realm-associated-with-selected-SSID”。
将NAI修改成为扩展格式可以由特定单元来执行,特定单元即在各个虚拟AP 63.1或63.2中或者连接到各个虚拟AP 63.1或63.2的NAI修改器单元99,见图4c。用于将NAI修改成为扩展格式的程序示于图4f的流程图中,其中,在EAP身份响应消息已经被接收在虚拟AP中之后,见步骤111,在用于来自终端15’的用于“关联”的先前请求中规定的并且对于各个虚拟AP也是唯一的SSID,在步骤113中与包括在所述响应消息中的NAI的域进行比较。如果比较结果是指定两个不同的操作员工作室,则在步骤115中修改NAI。最后,无论比较的结果如何,在步骤117中将AAA请求传送到BRAS 17的AAA代理服务器27。
因此,已经描述了可以如何修改AAA路由以保证它根据所选SSID进行路由,即使用户已经提供了未指示与所选SSID相关联的操作员工作室的NAI,在这种情况中,SSID选择优先于NAI。描述了两种方式:一种方式是使AAA路由明确地基于所选SSID,其要求SSID包括在AAA属性中,并且另一种方式是以某种方式修改NAI,使得AAA路由将AAA消息送往正确的操作员工作室3.1或者3.2,即与所选SSID相关联的那个操作员工作室。用户可能错误地提供NAI,该NAI不属于所选SSID的操作员工作室,比如在SSID选择期间或者在手工NAI输入期间做出的错误。在任何情况下,保证了使用具有一个操作员工作室3.1,3.2的其相关联SSID的虚拟AP 61.1或61.2的接入,不由另一个操作员工作室的AAA服务器31来处理。
在成功的用户认证之后,用户可以通过DHCP继续获取IP地址以使得能够进行随后的IP通信。
以下参照图4a的信号图对在这种情况下接入操作员工作室的不同步骤进行概述,其中用户通过他的终端15’选择接入到与操作员工作室3.1,3.2相关联的WLAN虚拟AP63.1,63.2。
1、WLAN AP 7为多个WLAN虚拟AP传送SSID,WLAN虚拟AP与在BRAS 17中连接的VLAN41.1,41.2,45相关联。
2、终端15’传送用于与WLAN虚拟AP 63.1,63.2“关联”的请求,以用于从那些与操作员工作室No.1和2,3.1和3.2关联SSID中所选的SSID。
3、所选WLAN虚拟AP 63.1或63.2向终端15’传送关联响应。
4、WLAN虚拟AP 63.1,63.2从它的EAP认证器(在图2a中用项67表示)向终端15′传送EAP身份请求,由此启动EAP程序。
5、终端15′使用EAP身份响应进行响应,该身份响应包括NAI形式的用户身份。
6、EAP认证器56将EAP身份响应传送给WLAN AP 7的AAA客户机功能25。在这个步骤之前或者在这个步骤中,可以执行上述的将SSID包括在AAA属性中或者对由用户提供的NAI进行可能的修改的程序。
7、WLAN AP 7中的AAA客户机功能25将AAA请求(包括由用户在响应中提供的NAI以及可能地所选WLAN虚拟AP 63.1、63.2的SSID)传送给BRAS中的AAA代理服务器27。
8.AAA代理服务器27从可以包括在AAA请求中的SSID或者从NAI的域部分认识出操作员工作室No.1,3.1是所需的并且将AAA请求传送到操作员工作室No.1中的AAA服务器31。
9、在操作员工作室No.1中的AAA服务器31和用户终端15′之间的EAP认证程序通过BRAS 19的AAA代理服务器27和WLAN AP 7的AAA客户机25被执行。在终端和认证服务器之间对EAP程序进行端到端的处理,认证服务器是AAA服务器。在AAA客户机25和AAA服务器31之间,EAP分组被封装在AAA消息中。
10、通过一直到WLAN AP中的AAA客户机25的AAA消息,WLAN AP 7被通知认证已经成功完成。WLAN AP然后允许转发来自有关终端15′的帧和去往有关终端15′的帧。所选SSID已经指示上行链路帧应当转发到哪个VLAN,在这个例子中为VLAN No.1 41.1。不需要VMAC地址。使用IEEE 802.11i机制的源完整性保护确保了无任何其他终端可以使用同一MAC地址通过WLAN AP 7进行通信。
11、WLAN AP 7使用VLAN No.1通过相应地给帧加标签开始转发来自终端15′与去往终端15′的帧。
12、在用户已经被认证之后,终端15′可以继续获取IP地址。这将是来自操作员工作室No.1的地址范围的IP地址。它将由例如位于BAS 19中的操作员工作室No.1中的DHCP服务器59提供。BRAS 17中的各个DHCP服务器61.1在这个程序中将作为DHCP中继代理。在这种情况中,作为DHCP中继代理的DHCP服务器与VRF No.1,47.1关联,用于操作员工作室No.1。可选地,BRAS中的各个DHCP服务器61.1可以分配来自操作员工作室No.1的地址范围的IP地址,而不涉及操作员工作室No.1中的任何DHCP服务器。在那种情况中,必须已经为BRAS的各个DHCP服务器61.1提供了出自操作员工作室No.1的地址范围的专用IP地址池。
13、在终端15′已经被给定IP地址之后,用户可以使用TCP/IP通过VLAN No.1,41.1,、VRF No.1,47.1以及操作员工作室No.1,3.1的BAS 19启动流量。例如,用户可以接收操作员工作室No.1的BAS的网页。这样的网页可以提供可通过操作员工作室No.1接入的业务。
在这种情况中,WLAN AP 7可以具有执行操作员工作室接入所需的至少以下模块/部件/功能,见图4c:
-连接到天线93的RF发射机/接收机91,包括单元95,用于发送包括SSID的广播消息,并且包括单元97,用于接收和发送帧到已经与WLAN AP建立了连接和想要建立连接的终端15′。
-本地虚拟AP功能65。
-具有NAI修正器单元99的虚拟AP功能63.1,用于操作员工作室No.1,3.1。
-具有NAI修正器单元99的虚拟AP功能63.2,用于操作员工作室No.2,3.2。
-存储在存储器103的存储位置101中的SSID-VLAN关联列表。
-VLAN处理器105。
-AAA客户机25。
-认证器功能/实体67。
在这种情况中,BRAS 17可以具有执行操作员工作室接入所需的至少以下模块/部件/功能:
-BRAS网络,其包括到本地业务网络51的连接/包括本地业务网络51。
-连接在BRAS内部网络中的本地VRF 49。
-AAA客户机23,其直接连接到本地VRF 49并且能够与AAA代理服务器27通信。
-AAA代理服务器27,其连接在BRAS网络中或者连接到BRAS网络,并且当需要时能够与操作员工作室No.1和2中的AAA服务器31进行通信,具有与它们的安全关系。
-VRF No.1,47.1,其连接在BRAS网络中用于仅路由去往/来自操作员工作室No.1的流量,当流量可以被不同地路由时的情况例外。VRF No.1在宽带接入网29中用作操作员工作室No.1的接入路由器。从操作员工作室No.1的角度看,VRF No.1看起来像操作员工作室No.1的自己网络的一部分。
-VRF No.2,47.2,其连接在BRAS网络中用于仅路由去往/来自操作员工作室No.2的流量,当流量可以被不同地路由时的情况例外。
-用于操作员工作室No.1的DHCP服务器61.1。
-用于操作员工作室No.2的DHCP服务器61.2。
下面参照图4b的信号图对在用户选择接入与本地WLAN AP VLAN 45相关联的WLAN虚拟AP 65的情况下对接入操作员工作室的不同步骤进行概述。
1、WLAN AP 7向多个WLAN虚拟AP传送SSID,所述多个WLAN虚拟AP与连接在BRAS 17中的VLAN 41.1,41.2,45相关联。
2、终端15′传送用于与WLAN虚拟AP 65“关联”的请求,用于与本地WLAN AP VLAN45相关联的SSID。
3、所选WLAN虚拟AP 65向终端15′发送关联响应。
4、终端15′继续获取IP地址,WLAN AP 7在终端和本地WLAN AP VLAN45之间转发帧。从BRAS 17中的DHCP服务器62获取IP地址。
5、在终端15′已经获取IP地址之后,终端通过本地VRF 49接入业务入口54。如果终端试图接入一些其他的网络服务器,则通过超文本传输协议(HTTP)重新指向功能,该终端无论如何可以被重新指向业务入口。
6、业务入口54将关于可用操作员工作室3.1,3.2的信息以及它们相关联的SSID传送给终端15′,供用户读取。
7、终端15′从用于本地业务的WLAN虚拟AP 65分离,除非用户想要仅接入本地业务。然后用户手工选择新的SSID,这次是与可用操作员工作室3.1,3.2相关联的一个,并且然后当用户选择接入到与操作员工作室3.1,3.2相关联的WLAN虚拟AP 63.1,63.2时,使用如上所述的相同步骤。这样,在这种情况中,以很根本的方式使用在业务入口54获得的信息:用户读取信息并且使用它用于手工SSID选择。在这个重新选择中没有任何自动操作。
WLAN AP 7所需要的模块/部件/功能与第一种情况的相同,但是BRAS 17的模块/部件必须也包括连接在BRAS网络中的业务入口54和例如与本地VRF 49相关联的DHCP服务器62。
通过WLAN AP接入,不支持虚拟AP概念
如果WLAN AP不支持虚拟AP概念并且仅可以向可能的用户提供单个SSID,则连接过程有些类似于上述的用于通过CPN 5接入的程序。在这种情况中,使用连接在WLAN AP 7和BRAS 17之间的AN 13′,见图2b。而且,图2a中例示的VLAN 41.1,41.2和43,其一直扩展到WLAN AP,即VLAN No.1,VLAN No.2和本地WLAN AP VLAN,其不必包含AN和WLAN AP之间的链路,而是终止在AN 13′中(如图2b所示)。在WLAN AP 7和AN 13′之间不需要VLAN分离。VLAN分离意味着使用VLAN标签使流量的不同部分相互分离,但是物理上流量是混合的。仅逻辑上,流量被视为属于不同的虚拟LAN。
假定WLAN AP 7连续地广播属于或者代表自己并且因此还基本上用于接入本地业务网络51的SSID。终端15′接收SSID并且用户选择附连到WLAN AP。当用户附连到WLAN AP 7时,由EAP认证程序引起的AAA请求被路由到BRAS AAA代理服务器27,该BRAS AAA代理服务器27根据NAI域部分决定哪些应当指示操作员工作室No.1的域或者操作员工作室No.2的域以将请求路由到操作员工作室No.1的AAA服务器31还是操作员工作室No.2的AAA服务器31。WLAN AP的AAA客户机25在发送到AAA代理服务器27的AAA请求中包括AAA属性中或卖方特定属性中的终端15′的MAC地址,AAA属性例如是RADIUS呼叫台身份(Calling-Station-Id)属性,该属性也被重新使用在Diameter协议中。
在认证程序期间或者紧跟着认证程序,各个操作员工作室3.1,3.2的AAA服务器31将可能作为由认证程序的副产品产生的一个或多个会话密钥提供给WLAN AP 7,用于所提出的标准IEEE 802.11i的密码保护机制。所提出的标准IEEE 802.11i的机制将用户当前使用的终端15′的MAC地址密码地绑定到已认证的用户,以用于这个特定会话。
在成功的用户认证之后,BRAS 17例如通过SNMP或者BRAS 17可以用来控制AN的一些其他协议来指示AN 13′,来将用户的当前MAC地址与所选操作员工作室的业务VLAN41.1,41.2相关联,例如如果选定操作员工作室No.1,则业务VLAN是VLAN No.1。然后,终端15′可以接着使用DHCP获取IP地址来使得能够进行随后的IP通信。
在将用户的当前MAC地址与VLAN关联之前,AN 13′优选地将从WLAN AP 7接收的分组发送到本地WLAN AP VLAN 45,其中用户的MAC地址作为源地址,本地WLAN AP VLAN 45提供到本地业务网络51的接入,或者可替换地,AN 13′可以丢弃这样的分组。在EAP程序的开始时,用户可以通过提供专门的NAI指示希望仅接入到本地业务网络,专门的NAI包括属于宽带接入网29的域部分,专用于此目的,并且AN 13′可以保持(或者可选地被指示)发送从WLAN AP 7接收的分组(该分组使用用户的MAC地址作为源地址)到本地WLAN AP VLAN 45。观察到,通过本地WLAN AP VLAN仅接入到本地业务网络51不需要任何认证,并且无IEEE802.11i保护程序用于无线电接口上。
这个程序仅要求WLAN AP 7的标准行为并且因此可以使用可用的现成的AP。
以下参考图6a的信号图,对在WLAN AP 7不支持WLAN虚拟AP的情况下的接入操作员工作室3.1,3.2的不同步骤进行概述。
1、WLAN AP 7仅传送它自己的SSID,该SSID在图2b和6a中表示为“SSID本地”。
2、终端15′发送请求,用于“关联”WLAN AP 7。
3、WLAN AP 7发送关联响应给终端15′。
4、WLAN AP 7从它的EAP认证器(符号表示为条目67)发送EAP身份请求给终端15′,由此发起EAP程序。
5、终端15′使用EAP身份响应进行响应,该响应包括NAI形式的用户身份。
6、EAP认证器67将EAP身份响应传送给WLAN AP 7的AAA客户机功能25。
7、WLAN AP 7中的AAA客户机25使用AAA消息中的NAI封装EAP分组,在同一AAA消息中还包括终端15′的MAC地址,并且将AAA消息发送到BRAS 17中的AAA代理服务器27。
8、AAA代理服务器27查看NAI的域部分并且决定AAA消息将要转发到哪个AAA服务器,在这个例子中为操作员工作室No.1,3.1。AAA代理服务器将AAA请求发送给操作员工作室No.1中的AAA服务器31。AAA代理服务器27还从AAA消息中检索终端15′的MAC地址并且将它存储在BRAS 17中用于将来使用,比如存储在与逻辑功能单元57相关联的存储器中。这一将来使用是在成功地认证之后将要发送到AN 7的指示。
9、EAP认证程序通过AAA代理服务器27和WLAN AP 7的AAA客户机25在用户终端15′和所选操作员工作室中的AAA服务器31之间被执行,所选操作员工作室即由NAI的域部分指示的操作员工作室,在这个例子中为操作员工作室No.1。
10、在用户已经被成功认证之后,各个AAA服务器31发送指示成功认证的AAA消息。
11、这个消息由AAA代理服务器27接收并且被中继到WLAN AP 7中的AAA客户机25,这是一个标准AAA程序。因此,BRAS 17和WLAN AP 7二者都知晓该成功的认证。AAA服务器31还例如在作为成功指示的同一消息中发送一个或多个密钥到WLAN AP 7,用于对在WLAN AP和终端15′之间的流量进行密码保护。
12、然后,BRAS 17指示WLAN AP 7来将终端15′的MAC地址与所选操作员工作室的VLAN 41.1,41.2关联,在这个例子中为VLAN No.1,其与操作员工作室No.1相关联。由于MAC地址通过IEEE 802.11i机制被加密地绑定到已认证的用户,这种关联是所需要的全部并且防止MAC地址欺骗。在这种情况中不需要任何VMAC地址。由于使用了WLAN AP 7中的AAA客户机25,BRAS 17已经知道终端15′接入到哪个WLAN AP以及因此要指示哪个AN。可以由BRAS内部逻辑功能单元57(LU)执行对AN 13′的指示。关于MAC地址和所选操作员工作室,以及因此它将关联到哪个VLAN的信息在BRAS中是明显可用的,因为该信息已经被AAA代理服务器27接收和转发。通常,LU 57从AAA代理服务器27获得该信息。上述程序可以以多种方式执行,比如:
a)当AAA代理服务器27识别到所选操作员工作室时,它向BRAS 17的某些其他部分(例如LU 57)通知所做选择的以及与其有关的MAC地址和AN。LU 57可以接收NAI的域部分形式的操作员工作室选择信息或者某些其它BRAS内部标识符(例如VLAN ID),AAA代理服务器27已经将该域部分转换成该内部标识符。然后LU 57在指示AN 13′将已认证用户正在使用的MAC地址关联到与操作员工作室3.1,3.2的业务有关的VLAN,41.1,41.2之前仅必须等待成功用户认证的通知,即在这个例子中将MAC地址关联到与操作员工作室No.1,3.1相关联的VLAN No 1,41.1。
b)当AAA代理服务器27已经从所选操作员工作室中的AAA服务器31接收到包括成功用户认证指示的AAA消息时,它以例如NAI的域部分或者指示所选操作员工作室的某些其它BRAS内部标识符的形式,来通知BRAS 17的某些其它部分,例如LU 57,关于终端15′的MAC地址和所选操作员工作室。然后,在发送指示到AN 13′之前,如果需要或者希望的话,LU 57可以分别将NAI的域部分或者另外的BRAS内部标识符转换成为特定BRAS内部标识符,例如VLAN ID。
13、WLAN AP 7开始转发来自和去往终端15′的帧。
14、AN 13′开始转发与有关终端15′有关的帧。在这个例子中,这意味着将以终端的MAC地址作为源地址的上行链路帧转发到VLAN No.1,41.1,并且从VLAN No.1向WLAN AP7转发以终端的MAC地址作为目的地址的下行链路帧。
15、在用户已经被认证之后,终端15′可以接着获取IP地址,在这个例子中为来自操作员工作室No.1的地址范围的IP地址。在这个例子中,其由用于操作员工作室No.1的例如位于各个的BAS 19中的DHCP服务器59提供。BRAS 17中的DHCP服务器61.1、61.2在这个程序中将作为DHCP中继代理。在这个例子中,作为DHCP中继代理的DHCP服务器61.1与VRFNo.1关联,用于操作员工作室No.1。可替换地,BRAS中的DHCP服务器61.1可以分配来自操作员工作室No.1的地址范围的IP地址而不涉及操作员工作室No.1中的DHCP服务器。在那个例子中,必须已经为BRAS DHCP服务器提供了出自操作员工作室No.1的地址范围的专用IP地址池。
16、在终端15′已经被给定IP地址之后,用户可以使用TCP/IP通过VLAN No.1,41.1、VRF No.1,47.1以及操作员工作室No.1,3.1中的BAS 19启动流量。例如,用户可以接收操作员工作室No.1的BAS的网页。这样的网页可以提供通过操作员工作室No.1可以接入的业务。
在这种情况下,AN 13′可以具有执行操作员工作室接入所需的至少以下模块/部件/功能,见图6b:
-VLAN处理器121,包括子模块或者单元123,用于接收关于哪个VLAN与每个所连接的终端15′进行通信的指示;单元125,用于改变MAC-VLAN关联表,以及单元127;用于根据所述列表的各个记录为帧加标签。
-MAC地址-VLAN关联表,其基本上可以被设计成如表格1所示的,但是包括MAC地址而不是包括RG端口VLAN并且被存储在存储器131的存储位置129中。
在这种情况下,BRAS 17可以具有执行操作员工作室接入所需的至少以下模块/部件/功能:
-BRAS网络,包括到本地业务网络51的连接/包括本地业务网络51。
-连接在BRAS网络内的本地VRF 49。
-AAA代理服务器27,连接在BRAS网络内并且能够与操作员工作室No.1和2中的AAA服务器31通信。
-VRF No.1,47.1,连接在BRAS网络中用于路由仅去往/来自操作员工作室No.1的流量,当流量可以被不同地路由时的情况例外。
-VRF No.2,47.2,连接在BRAS网络中用于路由仅去往/来自操作员工作室No.2的流量,当流量可以被不同地路由时的情况例外。
-关联指示单元或者逻辑功能单元LU 57,用于监视AAA程序并且用于指示AN 13′将帧送往指定的VLAN 41.1,41.2。
-用于操作员工作室No.1的DHCP服务器61.1。
-用于操作员工作室No.2的DHCP服务器61.2。
其中没有AN(比如13′)用于BRAS 17和不支持虚拟AP的WLAN AP 7之间的程序也是可能的,尽管它可能不是优选的。在这样的程序中,BRAS必须将它的MAC地址-VLAN关联指示发送到WLAN AP,而不是发送到不存在的AN,并且WLAN AP必须能够将用户的MAC地址与来自若干VLAN(即VLAN No.1、VLAN No.2和本地WLAN AP VLAN)中的一个关联。在这个程序中,VLAN,即VLAN No.1、VLAN No.2和本地WLAN AP VLAN,一直扩展到WLAN AP 7。
通过IPsec隧道接入
通过例如WLAN AP 7接入宽带接入网的用户/终端也可以使用基于IPsec隧道的层3程序。现在将描述的基于终端15、15’与宽带接入网29中的节点之间的IPsec隧道的这样的层3程序可以看作是对上述的层2程序的补充或者替换。
上述的层2程序不能用于多个用户通过同一通用RG端口11(例如通过连接到或者与RG 1集成的WLAN AP)连接的情况,或者不能用于没有单独的RG端口可用的情况。另外,用户可以具有连接到RG 1的路由器141,该路由器141具有NAT 143,这使得若干设备15/用户可以使用由本地网络5分配的同一IP地址连接到NAT,见图2c。这样的基于归属的NAT,是相当普通的,使得层2解决方案更不可行。基于归属的WLAN AP和包括NAT的路由器还可以集成在单个设备中。因此,在这些情况下要求层3程序。然而,这里所描述的层3接入程序是可以用于所有情况下的通用解决方案,不管用户通过CPN 5还是通过公共WLAN AP 7连接。
在基本情况下,可以假定漫游用户通过RG端口比如11连接。这是需要层3解决方案的情况:用户访问朋友,因此她/他在漫游,朋友的CPN 5连接到宽带接入网29,宽带接入网29连接到用户的归属操作员工作室3.1或3.2。因此,这是用户接入他的“归属宽带接入网”的情况。假定没有单独的RG端口可供漫游用户使用,通过该单独RG端口用户可以使用层2程序进行连接。而漫游用户使用已经由她/他的朋友正在使用并且因此已经与业务VLAN41.1,41.2即VLAN No.1或VLAN No.2关联的RG端口11。由于通过这个RG端口的所有流量将通过关联的业务VLAN,由于AN 13中的VLAN关联,用户/终端15将必须建立通过这个业务VLAN的IPsec隧道,即使IPsec隧道可以用于关联用户/终端与另一操作员工作室,即漫游用户的归属操作员工作室,而不是与穿过的业务VLAN相关联的操作员工作室。
然而,用户不必非要在漫游时使用IPsec隧道程序来建立通过业务VLAN之一的IPsec隧道。例如,另一种情况是用户具有与连接到同一宽带接入网29的两个不同操作员工作室的订阅,两个不同操作员工作室例如是操作员工作室No.1和2,3.1和3.2。在那种情况下,用户可能已经使用如上所述的层2程序将RG端口11与操作员工作室之一(例如操作员工作室No.1)的业务VLAN 41.1进行关联,并且然后用户决定他也想接入另一个操作员工作室(例如操作员工作室No.2)中的一些业务。用户然后可以使用层3程序并且通过业务VLAN41.1建立IPsec隧道以便接入操作员工作室No.2。然而,这种情况对终端15的操作系统,并且也可能对在终端上运行的应用要求相当高,因为操作系统必须能够处理多个IP地址并且应用可能必须处理源地址选择。
也有可能通过与本地缺省VLAN 43关联的RG端口11、或者通过公共WLAN AP 7和业务VLAN 41.1,41.2之一、或者通过公共WLAN AP 7和本地WLAN AP VLAN 45建立IPsec隧道,但是其中通过业务VLAN 41.1,41.2之一建立IPsec隧道的情况可能更有意义,尽管机制是彼此相同的或者至少相当相似的。
在上述基本情况中,用户通过另一个用户的CPN 5接入宽带接入网29,并且因此用户是漫游的。这应当区别于涉及漫游到外部宽带接入网(即漫游到与用户的归属操作员工作室没有连接的宽带接入网)的情况,在下面部分中将具体描述后一种情况。
因此,现在将讨论的所有情况涉及接入用户的“归属宽带接入网”的用户,在此将“归属宽带接入网”定义为具有到用户的归属操作员工作室(3.1,3.2)的连接的宽带接入网29。因此,漫游用户假定通过RG端口11连接,RG端口11已经与向操作员工作室3.1,3.2之一的认证连接相关联,即从用户终端15,IPsec隧道在连接操作中通过RG端口通过业务VLAN之一即VLAN No.1或LAN No.2被建立。如上已经提到的,也可能通过与本地缺省VLAN 43关联的RG端口、或者通过公共WLAN AP 7和业务VLAN或本地WLAN AP VLAN 45建立IPsec隧道。当IPsec隧道已经通过本地缺省VLAN 43被建立时,它通过RG 11、AN 13、本地缺省VLAN 43和本地VRF 49。当IPsec隧道已经通过公共WLAN AP 7和业务VLAN 41.1,41.2被建立时,它通过WLAN AP、可能地AN 13′(取决于AN是否用于WLAN AP情况)、业务VLAN和与各个业务VLAN关联的VRF 47.1,47.2。当IPsec隧道已经通过公共WLAN AP 7和本地WLAN AP VLAN 45被建立时,它通过WLAN AP、可能地AN 13′(取决于AN是否用于WLAN AP情况)、本地WLAN AP VLAN和本地VRF 49。在所有情况下,IPsec隧道的端点可能相同,即在本地VRF 49中、或者可能在专用隧道端点/终端设备145中、在专用VRF 47.1或47.2中、或者在操作员工作室3.1,3.2的BAS 19中,如下文中将要讨论的。
最直接了当的层3程序是在终端15、15’和有关操作员工作室3.1、3.2中的BAS 19之间建立IPsec隧道。这种程序是下文中将要描述的选择中的一种选择,但是它存在许多不足之处。
在第一种情况下,通过另一个操作员工作室建立到操作员工作室的BAS 19的IPsec隧道147′。对于图2a和2c的接入情况,IPsec隧道可以例如从终端15通过RG 1、AN 13、VRF No.1以及操作员工作室No.1并且然后经过互联网149延伸到操作员工作室No.2的BAS19,见图2e。然而,从付费和路由两种角度看,这个程序是次最佳的,因为没有对IPsec隧道的分组进行任何特别的处理。这些分组,就像通过与操作员工作室No.1相关联的RG端口11发送的任何分组一样,由VRF No.1转发到操作员工作室No.1并且然后找到它们经过互联网149到达操作员工作室No.2的BAS 19的路径。这样,IPsec隧道147′不想通过其建立的“另一操作员工作室”是有关RG端口当前与之关联的操作员工作室。
在第二种情况下,IPsec隧道147″被提取并且在宽带接入网29内部被路由直到想要的操作员工作室的BAS 19,见图2f,这避免了第一种情况的不足。这意味着用于建立IPsec隧道的分组和组成IPsec隧道147″的分组被特别加以处理,使得这些分组不通过与各个VRF关联的操作员工作室被路由,VRF在这个例子中为VRF 47.1,即不通过上面的例子中的操作员工作室No.1,而是通过BRAS 17和在上面的例子中的专用于目的操作员工作室的VRF即VRF No.2,47.2,找到通往目的BAS 19的自己的路径,目的BAS 19即上面例子中的操作员工作室No.2的BAS。实际上,在这个例子中,这意味着VRF No.1在它的路由表格(比如存储在存储位置150(见图2f)上的表格)中必须具有针对每个IP地址的条目,对于每个BAS 19可能有一个或多个IP地址,BAS 19用作操作员工作室No.2的BAS中的IPsec隧道端点。用于在BAS中的可能作为IPsec隧道端点地址的IP地址,明显地包括在所考虑的操作员工作室的地址范围内,在这个例子中为操作员工作室No.2。这样的路由表格条目应当指向VRF No.2。结果是VRF No.1将要发送到“隧道端点地址”的分组发送到VRF No.2而不是将其寻址到操作员工作室No.1,其中该“隧道端点地址”指示或者指向操作员工作室No.2的BAS 19,由路由单元/IP地址处理器150′执行这个程序,路由单元/IP地址处理器150′在存储在存储位置150中的路由表格中为每个所接收的分组的IP地址搜索匹配条目,该表格具有地址条目,以使得送往这些地址的分组被路由到各个专用VRF 47.1,47.2。单个IP地址的路由表格条目也可以称作“主机路由(host route)”。
下面的表格是路由表格的一个通用例子。尽管路由表格的准确实现和表示在不同系统之间可以变化,但总的来说路由表格的属性可以遵照这个例子。
表格中的每行代表表格条目。条目的字段“目的地”和“网络掩码”中的内容一起定义了哪些地址与该条目匹配。网络掩码规定了多少比特的目的地是有效的并且当匹配地址用于路由时应当被使用。网络掩码255.255.255.0意味着目的地字段的前24个比特是有效的,因为网络掩码的每个数字代表8比特。
条目的字段“下一跳”保存下一跳路由器的IP地址,目的地址与该条目匹配的那些分组应当被转发到该下一跳路由器。如果下一跳字段是0.0.0.0,则这指示目的地位于直接附连到该路由器自身的网络之一上,即匹配该条目的分组不必被转发到另一个或者下一跳路由器,因为它的目的地位于直接附连到路由器自身的网络上,路由表格附连到该路由器。
条目的字段“接口”指示分组将在路由器的哪个自身接口上被转发。在字段“接口”中指示的地址是分配给有关接口的IP地址。
主机路由是一个条目,其中网络掩码被设置为255.255.255.255,即目的地字段的所有32比特都是有效的,在表格中用斜体字表示。这意味着仅单个地址将与该条目匹配,例如分别为针对表格中的两个主机路由的地址192.68.3.4和192.68.1.27。
当搜索与要被转发的分组匹配的条目时,路由器比较分组的目的地址和表格中的条目。具体地,当比较分组的目的地址和条目时,路由器比较目的地址和条目的目的字段,但是在这个比较中它使用仅由条目的“网络掩码”字段的内容所规定的比特数量。即,如果字段“网络掩码”的内容例如是255.255.255.0,则路由器比较目的地址的前24比特和条目的字段“目的地”内容的前24比特,而如果字段“网络掩码”的内容例如是255.255.255.255,则路由器比较完整目的地址(32比特)和条目的字段“目的地”内容的完整32比特。路由器用来搜索表格的原理是所谓的“最长匹配优先(longest-match-first)”原理。这意味着如果不止一个条目匹配分组的目的地址,则路由器将选择具有最大数量的匹配比特的条目,即匹配条目中的一个,其字段“网络掩码”的内容指示最大数量比特。例如,具有目的地址192.68.3.4的分组在上面的示例路由表格中与第三和第四条目两者都匹配。路由器于是将选择第三条目,因为该条目与目的地址的32比特即所有比特匹配,而第四条目仅与目的地址的24比特匹配。
表格末尾的条目,其字段“目的地”和“网络掩码”的内容都被设置为0.0.0.0,代表缺省路由。这是用于不匹配表格中的任何其他条目的所有分组的路由。
路由表格可以包含比包括在上面的例子中的字段更多的用于每个条目的字段。这样的附加条目可以进一步表征路由。例如经常具有度量字段,表示路由的“代价”,例如就到目的地的跳数而言。当在到同一目的地的可选路由之间进行选择时,可以使用度量字段。
上面使用的术语“内部地路由它”具体指IPsec隧道147″的分组,以及用于建立IPsec隧道的分组,在BRAS 17中如上所述地从一个VRF(在这个例子中为VRF 47.1)通过BRAS被路由到另一个VRF(在这个例子中为VRF 47.2),并且然后进一步被路由到为IPsec隧道的端点的操作员工作室的BAS 19。
然而,如果连接到同一宽带接入网29的操作员工作室3.1,3.2使用重叠地址空间,这是必须被支持的情况,例如包括私有地址的地址空间,根据第二种情况该程序无法工作,除非在操作员工作室上的IPsec隧道的端点具有全球唯一地址,即不包括在或者取自任何重叠地址范围中。私有IP地址是来自专用地址范围的地址,由IANA(互联网分配号码权利机构)分配,可以用于与全球互联网隔离的“地址导向(address-wise)”的网络中。这些地址可以在不同的网络中重复使用并且不是全球唯一的。当连接使用私有IP地址的网络到全球互联网时,私有网络和互联网之间的网关必须是NAT或者必须包括NAT,参见图2c。NAT的基本操作是在包含私有IP地址和私有网络侧的TCP或者UDP端口的一对与在互联网侧上的全球IP地址和TCP或者UDP端口之间进行动态关联即“转换”。基于TCP/UDP连接的基础,动态地建立以及删除这些关联。这样,使用私有IP地址的多个设备可以共享NAT中的单个全球唯一IP地址。然而,所有应用不能横跨NAT工作。
通常,在终端15,15′和有关操作员工作室3.1,3.2中的BAS 19之间建立IPsec隧道的方法,与远程IPsec隧道端点位于BRAS 17中的情况相比,使得向用户/终端15通知关于IPsec隧道的远程端点的地址更困难,因为:
-存在用于连接到宽带接入网29的每个操作员工作室3.1,3.2的不同远程端点。然而,这可以使用下面所述的方法来处理。
-远程端点的地址由与宽带接入网29的组织不同的组织来管理。
在BAS 19中具有IPsec隧道端点的另一不足在于,宽带接入网29的AAA实体,即BRAS 17中的AAA客户机23和AAA代理服务器27,不包括在AAA程序中,这可能产生与计费有关的问题。
上述不足暗示了在一些情况下将层3接入程序限制到宽带接入网29可能是优选的。
使IPsec隧道的远程端点位于BRAS 17中是将层3接入程序限制到宽带接入网29的一种方式。然而,还有可能是为每个操作员工作室3.1,3.2提供不同的远程端点或者为所有操作员工作室提供单个公共远程端点。前一种选择即具有不同的IPsec隧道的远程端点,为选择想要的操作员工作室提供了更简单的机制,但是它使得向用户或者终端15,15′通知关于端点地址更复杂。后一种选择即具有公共远程端点,好处在于IPsec隧道的远程端点的同一地址可以用于所有操作员工作室3.1,3.2,但是因此选择机制变得更加复杂,至少在当接入外部宽带接入网的情况时如此,其中层3解决方案或多或少重复使用,如下所描述的,因为该选择机制不能将此选择基于IPsec隧道的远程端点或者直接从IPsec隧道的远程端点获取。
因此,使用层3的接入方法的这些不同变化具有它们各自的好处和不足。现在将具体描述它们。
通过IPsec隧道接入BRAS中的公共隧道端点
在这个程序中,IPsec隧道147的单个公共远程端点位于BRAS 17中并且可以属于本地VRF 49,见图2d,并且地址即远程端点的IP地址因此指向本地VRF。然而,应当指出,即使下面的描述使用本地VRF作为公共远程端点,仍可以使用专用隧道端点设备,例如BRAS中的IPsec隧道端点服务器145,代替本地VRF。这样的专用端点服务器于是也将连接在BRAS内部网中,比如互联VRF网络52和/或本地业务网络51中,见图2g。
下面将描述通知远程隧道端点的地址的方法,这些方法也适用于建立和使用IPsec隧道的其他情况。
如上所述,在基本情况下,假定漫游用户通过RG端口11连接,该RG端口11已经与到操作员工作室3.1,3.2之一(例如操作员工作室No.1)的已认证连接相关联。在能够建立IPsec隧道之前,终端15必须获取IP地址。因此,以前面所述的方式从与VRF No.1关联的DHCP服务器61.1获取来自操作员工作室No.1的地址范围的IP地址。然后,从终端15通过专用VRF 47.1,47.2之一(例如VRF No.1)到本地VRF 49建立IPsec隧道,假定IPsec连接通过其建立的RG端口当前与专用VRF No.1关联,见图2d中的虚线147,也使用一些BRAS内部网络用于在专用VRF和本地VRF之间的通信(如下所述)。两个端点设备执行IKEv2程序,该程序用于建立IPsec隧道,在这个例子中即终端15和本地VRF 49执行IKEv2程序。IKEv2消息通过另一VRF(在这个例子中为专用VRF 47.1)被路由。
本地VRF 49具有来自宽带接入网29的地址范围的IP地址并且这向VRF No.1指示分组应当被路由到本地业务网络51,或者至少被路由到某个BRAS内部网络(比如互联VRF网络52),而不是被转发到操作员工作室No.1。这从VRF No.1中的IP路由表格显然可见。在另一种情况中,用户通过其连接的RG端口11当前可以通过RG端口VLAN 55和AN 13与本地缺省VLAN 43和本地VRF相关联,并且然后IPsec隧道147将不穿过任何其他VRF,但是这种情况意义不大。
将具有NAT穿过检测选项和EAP的IKEv2(互联网密钥交换协议版本2)用作综合认证机制建立IPsec隧道147。当终端15在EAP认证程序期间提供用户的常规NAI时,本地VRF49检查NAI的域部分并且识别用户的归属操作员工作室,例如操作员工作室No.2。本地VRF转发发往和来自BRAS 17的中AAA客户机23的EAP分组,并且AAA客户机通过AAA代理服务器27与操作员工作室No.2的AAA服务器31通信。
在成功认证之后,IPsec隧道的建立继续进行并且结束,并且本地VRF 49将所建立的隧道接口与到VRF No.2,47.2的路由进行关联。在本地VRF中,一些数据结构被用于内部地关联隧道接口与路由表格条目,或者不涉及路由表格某些其他内部机制。数据结构或机制可以包括/使用指针、表格或者类似的协议/机制。然后,本地VRF 49(该本地VRF49由BRAS17中的DHCP服务器62协助)为终端15分配取自操作员工作室No.2的地址范围的“内部”IP地址,用于在IPsec隧道147内部发送的分组,其中使用在B.Patel、B.Aboba、S.Kelly和V.Gupta在2003年1月在RFC 3456中提出的“IPsec隧道模式的动态主机配置协议(DHCPv4)配置(Dynamic Host Configuration Protocol(DHCPv4)Configuration of IPsec TunnelMode)中描述的方法。有可能将与本地VRF关联的DHCP服务器62和与VRF No.1和VRF No.2关联的DHCP服务器61.1,61.2实现为BRAS 17中的单个实体或者单元,但是它们也可以被实现成单独实体或者单元。在后一种情况下,与本地VRF49关联的DHCP服务器62用作终端15和与VRF No.1关联的DHCP服务器61.1之间的DHCP中继代理,其进而又可以用作针对操作员工作室No.1中的DHCP服务器59的DHCP中继代理。可选地,与本地VRF关联的DHCP服务器62可以被给定来自操作员工作室No.1的地址范围的地址池,以及可能地来自操作员工作室No.2的地址范围的类似的地址池,以供用户通过IPsec隧道将各个操作员工作室接入BRAS中的公共隧道端点。对于内部IP地址分配的另一选择是,本地VRF 49在IPsec隧道建立期间使用IKEv2消息之一中的配置净荷分配内部IP地址给终端15,其中在终端和DHCP之间不需要任何随后的交互。随后,通过IPsec隧道到达本地VRF的所有分组将被路由到专用VRF No.2,并且然后可以可选地排除送往BRAS内部网络中的节点和本地业务网络51的分组,即替代地直接将这些分组从本地VRF 49路由到它们的目的地。
VRF No.2和本地VRF 49中的每一个必须还为所分配的内部地址建立主机路由,以便从操作员工作室No.2到达的要送往有关终端15的分组被路由到本地VRF并且从其那里被路由到IPsec隧道的远程端点。“主机路由”是一种路由,或者更准确地说是如上所示的针对单个IP地址的路由表格条目。对于VRF No.2,41.2,主机路由的选择是可能的。被分配给终端15的内部IP地址可以选自操作员工作室No.2,3.2的地址范围的特定地址池,这个特定地址池仅用于通过BRAS 17中的公共IPsec隧道端点接入操作员工作室No.2的终端。对于这一选择,VRF No.2可以具有静态配置,该静态配置指示以来自这个特定池的IP地址作为它的目的地址的任何分组应当被转发到BRAS中的公共隧道端点,例如本地VRF 49。
如上所述也可以通过本地缺省VLAN 43、或者通过公共WLAN AP 7和业务VLAN41.1,41.2(即VLAN No.1和VLAN No.2之一)、或者本地WLAN AP VLAN 45建立IPsec隧道147。如果是通过本地缺省VLAN或者本地WLAN AP VLAN建立IPsec隧道的,则IPsec隧道将不穿过与操作员工作室关联的任何VRF。
为了使得终端15,15′能够建立IPsec隧道,终端15,15′必须被通知它将使用的IPsec隧道的远程端点的地址。这可以在业务入口54上以FQDN或者明确的IP地址被通告。终端的操作系统必须具有IKEv2/IPsec协议堆栈和一些附加软件来手工地或者从应用发起IKEv2程序。
另一种吸引人的可能性是使用DHCP选项,该DHCP选项将隧道端点表示成FQDN(完全合格域名)或者明确的IP地址,这是可能的,因为它是来自宽带接入网29的地址范围的地址,这要求宽带接入网29的DHCP服务器61.1,61.2,62和终端15,15′中的一些变化。于是宽带接入网的每个DHCP服务器61.1,61.2,62被设置成在发往终端的DHCP消息(例如DHCPOFFER和/或DHCPACK消息)中包括这个DHCP选项,该DHCP选项包括隧道端点的信息,即使DHCP服务器61.1,61.2,62用作终端和另外的DHCP服务器(例如操作员工作室3.1,3.2.中的DHCP服务器59)之间的中继代理。
具体地,这样的DHCP选项可以结合归属NAT 143使用,见图2c,并且特别是图2h,并且然后NAT本身首先通过DHCP被配置并且然后NAT反过来配置包括特定DHCP选项的连接终端15,15′。通知终端的DHCP方法允许包括通知终端、随后的隧道建立、以及甚至取决于认证方法的用户认证的机制由终端中的软件自动处理而无需用户的干预。用于DHCP服务器的DHCP软件和终端中的必要变化是显而易见的,并且可以由本领域的技术人员使用大体描述DHCP协议中的选项的使用的相应RFC来容易地实现。此外,NAT 143中的或者包含NAT功能的路由器141中的DHCP软件(其包括DHCP客户机和DHCP服务器功能性两者)可以被本领域的技术人员修改以实现想要的行为。
在所有终端仅要求单个端点地址的情况下,例如当使用公共端点时,这样的特定DHCP选项可以具有以下格式,每个小矩形表示单个比特八位字节:
在使用多个端点地址的情况下的格式可以是:
在使用单个端点地址的FQDN的情况下的格式可以是:
在使用多个FQDN的情况下格式可以是:
在同一选项中还可能存在IP地址和FQDN的混合,于是该格式可能是:
当前面的列表项类型字段表示IP地址时,可能不需要列表项长度字段,因为IP地址具有固定长度。这一格式允许在列表中包括IPv4地址和IPv6地址两者,其由不同列表项类型指示。也可能使该列表包含仅IPv6和/或IPv4地址,但是无FQDN,其中需要列表项类型字段来指示地址类型,但是不需要列表项长度字段。
上面特定DHCP选项格式的例子可以被重新用于DHCPv6,不同在于选项代码和选项长度字段分别是两个八位字节而不是一个八位字节。另外,由DHCPv6处理的IP地址是16个八位字节的IPv6地址而不是4个八位字节的IPv4地址。也有可能DHCPv6选项包含一个或多个IPv4地址或者IPv6和IPv4地址的混合,如上所述。
使用MAC地址接入控制列表的归属NAT 143,见图2h,可以可选地使用这个DHCP选项用于附加特征,该控制列表即所允许的MAC地址的列表。例如它可以选择使用仅发送给终端15的消息中的DHCP选项,该终端15具有不在所允许的MAC地址的列表上的MAC地址。然后它可以应用分组滤波,使得来自这些终端的分组被丢弃,除非这些分组要被发送到在新的DHCP选项中提供的地址,即公共隧道端点地址。
通知终端15,15′的第三种可能的方法是通过离线装置传递隧道端点的信息。例如,连接到宽带接入网29的每个住户可以接收来自宽度接入网29的操作员的包含通用信息的信,通用信息例如关于宽带接入网、所连接的操作员工作室3.1,3.2、本地业务网络51中的可用免费业务、如何连接家中的设备等等。在使用了各个程序的情况下,这样的信息可以包括要用于IPsec隧道端点的FQDN或者IP地址。
将使用结束在BRAS 17中的公共端点的IPsec隧道接入操作员工作室3.1,3.2的不同步骤总结如下,步骤包括信息的传输,也在图7a的信号图中加以例示。
1、漫游用户连接他的终端15到RG端口11,该RG端口11具有针对操作员工作室No.1的已建立连接。
2、通过和与VRF No.1相关联的DHCP服务器61.1进行交互,终端15获取来自操作员工作室No.1的地址范围的IP地址。
3、终端15的用户或者终端15本身接收或者获得公共隧道端点的地址,比如通过首先使用运行在终端中的WWW浏览器和适当的已知网络地址,比如“http://my-broadband-access-network-services.com”,获得来自业务入口54的网页,并且然后在所显示的网页中找到公共隧道端点的地址。
4、用户启动终端15中的特定软件用于开始建立IPsec隧道。这个软件的不同任务包括运行IKEv2并且因此为IPsec隧道建立安全关联(SA)。
5、特定软件创建要送往所接收的或者获得的地址的消息,用于建立以所接收的或者获得的地址作为它的远程端点的IPsec隧道,并且通过RG端口VLAN 55和VLAN No.1中的已连接的RG端口11发送消息。AN 13仅查看MAC地址。如果在RG端口11和终端15之间存在归属NAT 143,那么归属NAT 143检查消息的目的IP地址并且通过RG端口VLAN 55和VLANNo.141.1转发消息到VRF No.1。
6、VRF No.1,47.1检查消息的地址,并且发现消息的地址对应或者是包括在宽带接入网29的地址范围中的IP地址,并且转发该消息到BRAS 17中的公共IPsec隧道端点,例如在互联VRF网络52或者BRAS内部网络中的本地VRF 49。
7、BRAS 17中的公共隧道端点,例如本地VRF 49,接收该消息。该端点认识到IP地址属于它,开始建立IPsec隧道并且首先使用EAP用于认证并且因此开始在公共隧道端点和终端15之间发送消息,在公共隧道端点(本地VRF 49)中的EAP认证器首先发送EAP身份请求给终端15。
8、终端15使用EAP身份响应来进行响应,该EAP身份响应包括常规NAI形式的用户身份。
9、EAP认证器将EAP身份响应传送给BRAS 17中的AAA客户机功能23。
10、AAA客户机23在AAA消息中包括EAP身份响应并且发送该AAA消息到AAA代理服务器27。
11、通过检查NAI的域部分,AAA代理服务器27认识到需要操作员工作室No.2。AAA代理服务器27将AAA请求传送给操作员工作室No.2中的AAA服务器31。
12、通过BRAS 17的AAA代理服务器27和AAA客户机23执行操作员工作室No.2中的AAA服务器31和用户终端15之间的EAP认证程序。在终端15和认证服务器之间对EAP认证程序进行端到端的处理,认证服务器是操作员工作室No.2中的AAA服务器31。在BRAS 17的AAA客户机23和AAA服务器31之间,EAP分组被封装在AAA消息中。
13、在成功认证之后,执行用于建立IPsec隧道的程序,公共隧道端点,例如本地VRF,将所建立的隧道接口与BRAS 17中的到VRF No.2的路由相关联。
14、终端15和与本地VRF相关联的DHCP服务器62进行交互以获得用于在IPsec隧道内部的分组的IP地址,也称作“内部IP地址”。如上所述,与本地VRF关联的DHCP服务器62要么用作终端15和与VRF No.2关联的DHCP服务器61.2之间的DHCP中继代理,其进而又可以用作针对操作员工作室No.2,3.2中的DHCP服务器59的DHCP中继代理,要么分配来自操作员工作室No.2的地址范围的地址池的IP地址。对于公共隧道端点,例如本地VRF,还可能使用IKEv2中的配置净荷来向终端分配内部IP地址。
15、内部IP地址还由VRF No.2获得或者接收,VRF No.2在表格中输入该内部IP地址,表明具有这个IP地址的分组要被转发到公共隧道端点。可选地,内部IP地址选自操作员工作室No.2的地址范围中的特定地址池,这个特定地址池仅用于通过BRAS中的公共IPsec隧道端点接入操作员工作室No.2的终端。使用这个可选程序,VRF No.2,47.1可以具有静态配置,指示以来自这个特定地址池的IP地址作为它的目的地址的任何分组应当被转发到BRAS中的公共隧道端点。
16、IP地址还由公共隧道端点来获得或者接收,公共隧道端点向表格输入:以这个IP地址作为目的地址的分组将被转发到已建立的IPsec隧道。
17、用户可以使用TCP/IP通过IPsec隧道147、公共隧道端点、VRF No.2以及操作员工作室No.2的BAS 19启动流量。例如,用户可以接收来自BAS的网页。这样的网页可以提供可用业务。
由在终端15中的特定软件执行的步骤是:
1、获得公共隧道端点49、145的地址。
2、将包括公共隧道端点的地址的消息传送到所连接的网络,用于建立IPsec隧道。
由公共隧道端点49、145执行的步骤是:
1、在接收到建立IPsec隧道的请求之后,通过激活EAP认证器56启动EAP认证程序。
2、比如通过接收在EAP认证程序中从终端15获得的用户的常规NAI以及通过评估其域部分,从EAP认证器56接收关于想要的操作员工作室的信息。EAP认证器可以被视作本地VRF 49的一部分或者与VRF 49相关或者公共隧道端点服务器145。在那样的情况下,该信息本来就是可用的,因为终端在EAP身份响应分组中提供NAI。还可以使用NAI分析功能性,其总之存在于AAA代理服务器27中,并且AAA代理服务器可以然后根据该消息关系到哪个操作员工作室将分析结果传送到本地VRF或者公共隧道端点服务器145。可以选择其他方式,因为在BRAS内部实体之间来回传送数据,并且如果EAP认证器被视作BRAS 17中的单独模块的话,这仅是一个实现问题并且可以根据BRAS设计者的偏好使用对于本领域技术人员来说显而易见的多种方式来完成。
3、在接收到EAP认证已经成功完成的信息之后,建立到终端15的IPsec隧道,为该终端创建IPsec隧道接口,其中这样的接口是基于软件的并且可以被视作“虚拟接口”。向已创建的IPsec隧道接口发送分组和从已创建的IPsec隧道接口接收分组包括调用适当的IPsec程序。
4、将已创建的IPsec隧道接口与所想要的操作员工作室的专用VRF 47.1,47.2相关联。
5、从DHCP服务器62,61.1,61.2接收分配给终端15的IP地址。可选地,在IPsec隧道建立程序期间在IKEv2分组的配置净荷中发送IP地址给终端,其中公共隧道端点本身可以选择来自专用地址池的IP地址而不是从DHCP服务器接收它。
6、在接收或者选择IP地址之后,将它与所创建的IPsec隧道接口相关联。
7、当在IPsec隧道接口上接收分组时,将分组路由到所想要的操作员工作室的VRF47.1,47.2。
8、当接收到来自VRF 47.1,47.2的分组时,比较它们的目的IP地址和与现有IPsec接口相关联的IP地址,并且如果一致则发送到相应IPsec隧道。
9、在主机路由用于VRF 47.1,47.2从而用于路由分组到公共隧道端点的情况下,在已经去除IPsec隧道及其IPsec隧道接口之后,向与IPsec隧道接口相关联的VRF通知:到所分配的IP地址的那个路由应当被停止或者关闭。
如果分配给终端15的内部IP地址选自专用IP地址池,其中专用IP地址池仅用于经由IPsec隧道到公共隧道端点接入操作员工作室的终端,那么所选操作员工作室的VRF,即VRF 47.1,47.2,不必执行除了它的常规的IP路由之外的任何特定步骤,以便支持这个程序。另外,下面是由想要的操作员工作室的专用VRF 47.1,47.2执行的附加步骤:
1、在接收到来自DHCP服务器62、61.1、61.2的IP地址之后,通过输入IP地址作为表格中的新条目来修改路由表格,这样创建了与IP地址关联的主机路由,指示以所接收的IP地址作为它的目的地址的分组应当被转发到公共隧道端点,例如本地虚拟路由器功能49。
2、在接收到关于有关IP地址的已停止路由的信息之后,从路由表格中去除相应条目。
在这种情况中终端15可以具有执行操作员工作室接入所需的至少以下模块/部件/功能,见图7c:
-单元151,通常包括适当的处理器和存储在某个存储器中的适当软件,用于执行特定程序,单元151包括:
--单元153,用于执行程序,用于获得或者接收用于建立IPsec隧道的公共隧道端点的地址和/或如果需要的话用于存储所述地址。
--单元155,用于执行传送建立IPsec隧道的请求的程序。
-存储器175,包括:
--存储位置159,用于存储特定软件,该特定软件包括用于获得或者接收地址的程序的位置153′和用于传送IPsec隧道请求的程序的位置155′,以及
--一个存储位置/多个存储位置161,用于存储公共隧道端点的地址。
在这种情况中BRAS 17可以具有执行操作员工作室接入所需的至少以下模块/部件/功能:
-BRAS网络,也称作BRAS内部网络,包括到本地业务网络51和/或互联VRF网络52的连接/包括到本地业务网络51和/或内部VRF网络52。
-连接在BRAS网络中的本地VRF 49。
-AAA客户机23。
-认证器单元56。
-AAA代理服务器27,连接在BRAS网络中并且连接到操作员工作室No.1和2中的AAA服务器31。
-VRF No.1,47.1,连接在BRAS网络中,用于路由仅到/来自操作员工作室No.1的流量,当流量可以被不同地路由时的特定情况例外。
-VRF No.2,47.2,连接在BRAS网络中,用于路由仅到/来自操作员工作室No.2的流量,当流量可以被不同地路由时的特定情况例外。
-与本地VRF 49关联的DHCP服务器62。
-与VRF No.1,47.1关联的DHCP服务器61.1。
-与VRF No.2,47.2关联的DHCP服务器61.2。
-业务入口54(可选)。
-专用IPsec隧道服务器145(可选),其可选地还具有DHCP服务器功能性。
在这种情况中BRAS 17的本地VRF 49可以具有执行操作员工作室接入所需的至少以下模块/部件/功能,见图7d:
-AAA客户机27,其可以仅被连接到本地VRF。
-认证器功能56,其可以是本地VRF的部件或者连接到本地VRF。
-IPsec隧道处理器173,包括:
--单元175,用于发起认证,
--单元177,用于建立IPsec隧道并且创建相应的隧道接口,以及
--单元179,可能与单元177集成在一起,用于去除IPsec隧道和相应的隧道接口。
-单元181,由于已经接收到用于建立IPsec隧道的请求,用于发现所想要的操作员工作室。这个单元可以估计在EAP认证程序中接收到的用户的常规NAI的域部分。
-单元183,用于比如通过存储相应条目将所创建的隧道接口与连接到宽带接入网29的所想要的操作员工作室3.1,3.2相关联。
-DHCP服务器62,其可以是本地VRF 49的部件或者连接到本地VRF49。
-可选单元185,用于发送IP地址请求给DHCP服务器62。
-单元187,用于将IP地址关联到各个IPsec隧道接口。
-比较器189,用于比较在BRAS内部网络中接收的分组的IP地址。
-单元191,用于在已经从比较器189接收到所要求的信息之后转发分组到所选IPsec隧道接口及隧道。
-单元193,用于从IPsec隧道路由分组到各个VRF,关于取自关联表格的正确VRF的信息。
-单元195,用于发送关于不再要求到各个VRF的特定路由的IP地址的信息,仅在动态建立的主机路用于专用VRF 47.1,47.2时提供这个单元。
-存储器197,包括:
--表格的存储位置199,其可以是路由表格的一部分,列出了在IPsec隧道/IPsec隧道接口和专用VRF 47.1,47.2之间的关联,以及
--表格的存储位置201,其可以是路由表格的一部分,列出了在IP地址和IPsec隧道接口之间的关联。
如果使用了专用IPsec隧道端点服务器145,则它可以要求多数同样的或者相应部件。
在这种情况下,BRAS 17的专用VRF 47.1,47.2可以具有执行操作员工作室接入所需的至少以下模块/部件/功能,见图7e:
-VLAN处理器171。
-单元203,用于处理要求特定路由的IP地址,包括:
--单元205,用于识别要求特定路由的接收到的IP地址并且在路由表格中输入这样的IP地址,以及
--单元207,用于接收关于非当前地址的信息并且从路由表格中去除相应条目。
-单元209,用于根据路由表格进行路由,包括:
--比较器211,用于比较从关联的操作员工作室3.1,3.2的BAS 19接收的分组的IP地址与路由表格中的条目,以及
--单元213,用于根据在比较器211中执行的比较操作进行路由(在IP地址与表示公共隧道端点的动态创建的路由表格条目一致的情况下)到公共隧道端点,例如本地VRF49。
-存储器215,包括:
--存储位置217,用于存储路由表格。
在终端直接连接到RG端口11的情况下,使用BRAS 17中的公共IPsec隧道端点和特定DHCP选项接入操作员工作室3.1,3.2的不同步骤,与不使用特定DHCP选项的情况几乎是一样的。终端15获得公共IPsec隧道端点的IP地址的方式是唯一的不同部分。存在两种情况要考虑。在第一种情况下,特定DHCP选项包括公共隧道端点的IP地址。在第二种情况下,特定DHCP选项包括FQDN,该FQDN可以被转换成公共隧道端点的IP地址。在两种情况下,BRASDHCP服务器61.1、61.2、62在常规DHCP操作中也为终端15提供DNS(域名系统)服务器148的IP地址,该DNS服务器148可以将FQDN转换成为IP地址。这个DNS服务器可以位于BRAS 17中,专用于特定VRF或者服务于整个宽带接入网29,或者它可以位于操作员工作室3.1,3.2中。当特定DHCP选项包含IP地址时,对包括在这个程序中的不同步骤概述如下,包括信息传输的步骤也示出在图7g的信号图中。当使用特定DHCP选项时执行的第一步骤为:
1、漫游用户连接他的终端15到具有针对操作员工作室No.1的已建连接的RG端口11,并且通过和与VRF No.1关联的DHCP服务器61.1进行交互来获取来自操作员工作室No.1的地址范围的IP地址。
2、终端15从同一DHCP服务器61.1接收特定DHCP选项,该DHCP选项包括公共隧道端点(49;145)的IP地址。
余下的步骤与上面所述的步骤3-16相同,在上面的情况中,直接连接到RG端口11的终端使用BRAS 17中的公共IPsec隧道端点接入操作员工作室3.1,3.2而无需使用特定DHCP选项。
当特定DHCP选项包含FQDN时,对包括在这个程序中的第一步骤概述如下,包括信息传输的步骤也在图7h的信号图中加以例示。
1、漫游用户连接他/她的终端15到具有针对操作员工作室No.1的已建连接的RG端口11,并且通过和与VRF No.1,47.1关联的DHCP服务器61.1进行交互来获取来自操作员工作室No.1的地址范围的IP地址以及DNS服务器地址。
2、终端15从DHCP服务器61.1接收特定DHCP选项,该DHCP选项包括公共隧道端点(49;145)的FQDN。
3、终端15在请求消息中包括FQDN并且发送该请求消息给DNS服务器148,终端15之前已经接收了DNS服务器148的地址。
4、DNS服务器148检查该请求并且根据常规的DNS服务器操作将FQDN转换成IP地址,或者属于公共隧道端点(49;145)的可能的IP地址列表。
5、DNS服务器148分别将转换得到的IP地址或者IP地址列表发送到终端15。
余下的步骤与上面所述的步骤3-16相同,在上面的情况中,直接连接到RG端点11的终端15使用BRAS 17中的公共IPsec隧道端点接入操作员工作室3.1,3.2而无需使用特定DHCP选项。
在终端15连接到NAT 143以及特定DHCP选项包含IP地址的情况下,对使用BRAS 17中的公共隧道端点和特定DHCP选项接入操作员工作室3.1,3.2的第一步骤概述如下,包括信息传输的步骤也在图7i的信号图中加以例示。
1、NAT 143连接到RG端口11。
2、使用在终端15通过CPN 5接入操作员工作室3.1,3.2的情况下的前述方式,认证NAT 143并且创建VLAN关联,连接NAT到操作员工作室No.1。
3、NAT 143和与VRF No.1,47.1相关联的DHCP服务器61.1进行交互,并且获取来自操作员工作室No.1的地址范围的IP地址以及DNS服务器148的地址。
4、NAT 143从DHCP服务器61.1接收特定DHCP选项,该特定DHCP选项包括公共隧道端点的IP地址,这个特定DHCP选项实际上和分配给NAT和DNS服务器地址的IP地址一起被包括在同一消息中。
5、漫游用户连接她/他的终端15到NAT 143。
6、终端15与NAT 143中的DHCP服务器进行交互以获取私有IP地址。
7、终端从NAT 143中的DHCP服务器接收特定DHCP选项,该特定DHCP选项包括公共隧道端点(49;145)的IP地址。
余下的步骤与上面所述的步骤3-16相同,在上述情况中,直接连接到RG端点11的终端使用BRAS 17中的公共IPsec隧道端点接入操作员工作室3.1,3.2,而无需使用特定DHCP选项。
在终端15连接到NAT 143以及特定DHCP选项包含FQDN的情况下,对使用BRAS 17中的公共隧道端点和特定DHCP选项接入操作员工作室3.1,3.2的不同步骤概述如下,包括信息传输的步骤还在图7j的信号图中加以例示。
1、NAT 143连接到RG端口11。
2、使用在终端通过CPN 5接入操作员工作室的情况下的前述方式,认证NAT 143并且创建VLAN关联,连接NAT到操作员工作室No.1,3.1。
3、NAT 143和与VRF No.1相关联的DHCP服务器61.1进行交互,并且获取来自操作员工作室No.1的地址范围的IP地址以及DNS服务器148的地址。
4、NAT 143从DHCP服务器61.1接收特定DHCP选项,该特定DHCP选项包括公共隧道端点(49;145)的FQDN。
5、可选地,如果特定DHCP选项包含FQDN,则NAT 143在请求消息中包括该FQDN,它发送该消息到DNS服务器148,NAT 143先前已经接收到DNS服务器148的地址。
6、如果NAT 143在请求消息中发送FQDN到DNS服务器148,则DNS服务器检查该请求,将FQDN转换成为IP地址或者属于公共隧道端点(49;145)的可能IP地址列表,并且将其返回到NAT。
7、漫游用户连接她/他的终端15到NAT 143。
8、终端15与NAT 143中的DHCP服务器进行交互以获取私有IP地址以及DNS服务器148的IP地址。
9、终端15从NAT 143中的DHCP服务器接收包括IP地址的特定DHCP选项(如果NAT已经选择转换了FQDN)或者包括公共隧道端点(49;145)的FQDN的特定DHCP选项。
10、如果从NAT 143中的DHCP服务器接收到的特定DHCP选项包含FQDN,则终端15在请求消息中包括该FQDN,它发送该消息到DNS服务器148,终端15先前已经接收到DNS服务器148的地址。
11、如果终端15在请求消息中发送FQDN到DNS服务器148,则DNS服务器检查该请求,将该FQDN转换成IP地址或者属于公共隧道端点(49;145)的可能IP地址列表,并且将其返回到终端。
余下的步骤与上面所述的步骤3-16相同,在上述情况中,直接连接到RG端点11的终端15使用BRAS 17中的IPsec隧道端点(49;145)接入操作员工作室3.1,3.2而无需使用特定DHCP选项。
在特定DHCP选项包含BRAS 17中的公共IPsec隧道端点的一个或多个IP地址的情况下,由在终端15中和NAT 143中的特定软件执行的步骤为:
1、当NAT 143从与NAT连接到的操作员工作室3.1,3.2的VRF 47.1,47.2相关联的DHCP服务器61.1,61.2接收配置数据(例如IP地址和DNS服务器地址)时,它还从DHCP服务器接收和识别特定DHCP选项。
2、NAT 143提取并且存储包含在特定DHCP选项中的一个(或多个)IP地址。
3、当漫游用户的终端15已经连接到NAT 143并且从NAT的DHCP服务器请求配置数据时,DHCP服务器发送除了常规配置数据之外的特定DHCP选项到终端,其中它包括BRAS 17中的公共IPsec隧道端点的一个(或多个)IP地址。
4、当终端15从NAT的DHCP服务器接收配置数据(例如IP地址和DNS服务器地址)时,它还接收和认识特定DHCP选项。
5、终端15提取并且存储包含在特定DHCP选项中的一个(或多个)IP地址。
6、终端15使用在BRAS 17中的公共IPsec隧道端点(49;145)所接收的IP地址以建立面向公共隧道端点的IPsec隧道。
在特定DHCP选项包含BRAS中的公共IPsec隧道端点的FQDN并且NAT选择转换了FQDN的情况下,由在终端15和NAT 143中的特定软件执行的步骤为:
1、当NAT 143从与NAT连接到的操作员工作室3.1,3.2的VRF 47.1,47.2相关联的DHCP服务器61.1,61.2接收配置数据(例如IP地址和DNS服务器地址)时,它还从DHCP服务器接收和识别特定DHCP选项。
2、NAT 143从特定DHCP选项中提取FQDN并且在DNS查询中发送FQDN到DHCP服务器148,NAT 143在步骤1中接收了DHCP服务器148的地址。
3、NAT 143接收来自DNS服务器148的响应中的一个或多个IP地址。
4、NAT 143提取并且存储包含在来自DNS服务器148的响应中的一个(或多个)IP地址。
5、当漫游用户的终端15已经连接到NAT 143并且请求来自NAT的DHCP服务器的配置数据时,DHCP服务器发送除常规配置数据之外的特定DHCP选项到终端,其中它包括BRAS17中的公共IPsec隧道端点(49;145)的一个(或多个)IP地址。
6、当终端15从NAT的DHCP服务器接收配置数据(例如IP地址和DNS服务器地址)时,它还接收和识别特定DHCP选项。
7、终端15提取并且存储包含在特定DHCP选项中的一个(或多个)IP地址。
8、终端15使用在BRAS 17中的公共IPsec隧道端点(49;145)所接收的一个(或多个)IP地址以建立面向公共隧道端点的IPsec隧道。
在特定DHCP选项包含BRAS 17中的公共IPsec隧道端点(49;145)的FQDN并且NAT不必转换FQDN情况下,由在终端15和NAT 143中的特定软件执行的步骤为:
1、当NAT 143从与NAT连接到的操作员工作室3.1,3.2的VRF 47.1,47.2相关联的DHCP服务器61.1,61.2接收配置数据(例如IP地址和DNS服务器(148)地址)时,它还从DHCP服务器接收和识别特定DHCP选项。
2、NAT 143提取并且存储包含在特定DHCP选项中的FQDN。
3、当漫游用户的终端15已经连接到NAT 143并且请求来自NAT的DHCP服务器的配置数据时,DHCP服务器发送除常规配置数据之外的特定DHCP选项到终端,其中它包括BRAS17中的公共IPsec隧道端点(49;145)的FQDN,即在步骤2中它存储的FQDN。
4、当终端15从NAT 143的DHCP服务器接收配置数据(例如IP地址和DNS服务器地址)时,它还接收和识别特定DHCP选项。
5、终端15从特定DHCP选项中提取FQDN并且在DNS查询中发送该FQDN到DNS服务器148,它在步骤4中接收DNS服务器148的地址。
6、终端15接收来自DNS服务器148的响应中的一个或多个IP地址。
7、终端15提取并且存储包含在来自DNS服务器的响应中的一个(或多个)IP地址。
8、终端15使用在BRAS 17中的公共IPsec隧道端点(49;145)所接收的IP地址以建立面向公共隧道端点的IPsec隧道。
BRAS 17、BRAS 17的本地VRF 49以及VRF 47.1,47.2可以具有如上所述的相同的模块/部件/功能。
通过IPsec隧道接入到BRAS中的操作员工作室特定端点
在这个程序中,连接到宽带接入网29的每个操作员工作室3.1,3.2在BRAS 17中具有专用隧道端点。可以考虑以下用于专用隧道端点的选择:
1、专用隧道端点被给出本地VRF 49的专用地址,即指向本地VRF的特定IP地址并且可能地仅用于用作隧道端点的目的。本地VRF可以仅使用一个子组,例如其地址之一,用于这个目的,但是子组也可以是它的地址全部,在这种情况下这些地址根本不是特定的。当包含IKE消息的IP分组在本地VRF 49中被接收到时,分组的内容被传送到本地VRF中的IKE软件。不管使用了本地VRF的哪个地址,这个功能性都是可用的。还有可能本地VRF 49在BRAS内部网络中仅具有一个地址,在这种情况下这个地址将明显地用于所有目的,包括IPsec隧道的终止。这也适用于其中隧道端点位于BAS 19中的情况。
2、专用隧道端点被给出作为专用隧道端点设备(比如IPsec隧道端点服务器145)的专用地址。在其中使用专用隧道端点设备的情况下,如上面所述的情况,它“必须接入到”EAP认证器和AAA客户机。原则上,BRAS 17被视作单片电路设备。因此,可以假定包括VRF、一个(或多个)EAP认证器、一个(或多个)AAA客户机等等的其内部实体,具有可能相互通信的装置。这样的通信可以用对于本领域技术人员来说显而易见的多种方式实现。由于BRAS 17的这种属性,例如可能让需要EAP认证器的所有BRAS内部实体使用同一EAP认证器实体。还有可能来安排每个这样的实体具有其自己的EAP认证器。这同样适用于AAA客户机。
3、专用隧道端点被给出作为与操作员工作室3.1,3.2相关联的每个VRF 47.1,47.2的专用地址。
如上所述,可以假设漫游用户通过RG端口11连接,该RG端口11已经与面向操作员工作室3.1,3.2之一(例如操作员工作室No.1)的已认证连接相关联。在如上所述的情况1中,IPsec隧道扩展(如图2d所示)用于公共隧道端点情况并且隧道建立机制还基本上与使用公共隧道端点的情况相同。唯一区别在于操作员工作室选择不是仅仅基于NAI的域部分,而是还基于所选隧道端点。如果所提供的域和所选隧道端点不指示或者不属于同一操作员工作室,则隧道建立可以被可选地拒绝。
在为参照图7a所描述的公共隧道端点的情况执行的步骤中,步骤6被修改,使得比如在单元219中的本地VRF 49,通过比较IP地址与存储在存储器103中的存储位置221中的表格中的条目,识别用于IPsec隧道的请求的IP地址作为它必须处理或者连接到它的地址,见图7d。它然后开始如上所述地建立IPsec隧道。在上面所列出的由公共隧道端点执行的步骤中,可以在步骤1之前执行新步骤,在新步骤中将在内部BRAS网络中发送的分组的IP地址与由本地VRF处理的所有IP地址进行比较。在步骤2中,本地VRF 49从EAP认证器56接收在EAP认证程序中获得的关于用户的常规NAI的信息,特别是NAI的域部分,但是这个步骤可以被修改成还包括将该信息与在建立IPsec隧道的请求中获得的隧道端点的地址进行比较。这个程序由单元181适当地执行,见图7d。
如果专用隧道端点被分配给不同的专用VRF 47.1,47.2,即上面所述的情况3中,则隧道端点不必与到另一个VRF的路由相关联,见图2k。而是各个专用VRF像对待所有其他上行链路分组一样对来自IPsec隧道的分组进行路由,即将其路由到VRF专用于的操作员工作室,除非分组具有来自宽带接入网的地址范围的目的地址,例如指示本地业务网络51。然而,在下行链路方向上,所想要的操作员工作室的专用VRF 47.1,47.2仍旧必须为终端15,15′的“内部”IP地址建立主机路由,指向隧道接口,使得送往终端15的下行链路分组通过隧道被发送到终端而不是像其他下行链路分组一样被路由到与VRF相关联的业务VLAN 41.1,41.2。还是在这种情况下,NAI的域部分应当指示专用VRF为其安排的同一操作员工作室。
对于由图7a的信号图所示的例子,在该第三情况下,信号实例“本地虚拟路由器功能”可以被“操作员工作室2的虚拟路由器功能”替代,信号实例“BRAS DHCP服务器”由“专用DHCP服务器”替代,并且信号实例“操作员工作室2的虚拟路由器功能”被删除,见图7b。由专用VRF使用的AAA客户机和EAP认证器可能是与本地VRF使用的BRAS内部实体相同的BRAS内部实体,即AAA客户机23和认证器56,但是它们还可以是被集成在有关VRF 47.1,47.2中的或者仅与有关VRF 47.1,47.2相关联的实体,见图7e。对本地VRF中的公共隧道端点的情况,如图7d所示的用于本地VRF的单元219、173、175、177、179、189、185、187和可选单元191以及存储位置201中的表格,必须被移动到如图7e所示的专用VRF。
还可以通过本地缺省VLAN 43、或者通过WLAN AP 7以及业务VLAN 41.1,41.2、或者本地WLAN AP VLAN 45建立IPsec隧道。
向终端15,15′通知关于可用潜在隧道端点的方法可以基本上与如上所述的使用单个公共端点的情况相同。比较上面给定的格式例子,区别在于在这种情况下新的可能的DHCP选项包含隧道端点的列表,每个隧道端点由相关联的操作员工作室可能名字和/或域来标识,跟着是FQDN或者一个或多个明确的IP地址。可选地,新的可能的DHCP选项可以包含单个隧道端点,但是看起来在DHCP消息中多次出现,每次用于每个专用隧道端点。通常,消息字段,如DHCP选项,可以被指定为包括一个或多个特定类型信息(即特定类型信息的列表),比如在我们的例子中为隧道端点参考。可选地,消息字段可以总是被指定为包括特定数据的一个并且仅一个实例,比如这里所描述的情况下的隧道端点参考。在前一种情况下,单个实例的消息字段,即这种情况下的特定DHCP选项,足以传递列表。在后一种情况下,列表替代地通过包括多个实例的消息字段一起被传递,实质上,该多个实例的消息字段构成了列表。显然同一信息在两种情况下都由消息来传递。
在前面所示的可能的特定DHCP选项格式的例子中,域长度字段和域字段在这种情况下被插入在每项之前或者之后,其中“项”指包含IP地址的字段或者两个相关联的字段,两个相关联的字段包含FQDN长度字段和FQDN字段。下面的两个例子说明了这个前面示出的特定DHCP选项格式例子的“转换”是如何执行的。
包括域列表和相关联的FQDN的选项的格式:
对于若干FQDN,域可以相同,例如域No.1=域No.2,使得若干FQDN因此属于同一操作员工作室3.1,3.2,每个FQDN代表操作员工作室的BAS 19中的潜在IPsec隧道端点。
包括单个IP地址和相关域的选项的格式:
上面的特定DHCP选项格式的例子可以重新用于DHCPv6,区别在于选项代码和选项长度字段各自是两个八位字节而不是各自为一个八位字节。另外,由DHCPv6处理的IP地址是16个八位字节的IPv6地址而不是4个八位字节的IPv4地址。
通过IPsec隧道接入宽带接入服务器
从终端到所选操作员工作室3.1,3.2的BAS 19建立IPsec隧道的最简单的方式是使用常规的IPsec建立机制,并且这个IPsec隧道和终端15可以建立的其他IPsec隧道之间没有区别。然而,这将意味着IPsec隧道通过与RG端口11相关联的操作员工作室被路由,除非RG端口当前与本地缺省VLAN 43相关联。结果,操作员工作室(例如操作员工作室No.1)的资源和互联网上的可能其他资源将必须被使用,导致次最佳路由和操作员工作室No.1的订户的不必要的付费。在图2e所示的例子中,假设RG端口11与操作员工作室No.1相关联,而终端15希望通过到操作员工作室No.2的BAS 19的IPsec隧道接入操作员工作室No.2。IPsec隧道147′于是从终端15延伸,通过RG 1、AN 13、VLAN No.1、VRF No.1、操作员工作室No.1的BAS 19、互联网149,并且结束在操作员工作室No.2的BAS中。
比较上面图2f的讨论,更有吸引力的方法是在所有VRF(包括本地VRF 49)中建立到与宽带接入网29连接的所有操作员工作室3.1,3.2的BAS 19中的隧道端点的主机路由。然后,代替通过操作员工作室和外部网络,IPsec隧道在BRAS 17中的VRF之间被内部地路由。例如,专用VRF No.1可以具有到操作员工作室No.2的BAS 19中的隧道端点的主机路由,即针对这个隧道端点的IP地址的路由表格条目,通过BRAS内部网络指向VRF No.2。然而,如上所述,如果连接到宽带接入网的多个操作员工作室使用重叠地址空间,例如私有地址,那么这个方法无效,除非在操作员工作室上的隧道端点具有全球唯一地址,即不取自任何重叠私有范围。
到其他操作员工作室的BAS隧道端点的主机路由控制上行链路隧道分组以及用于建立隧道的IKEv2分组的路由,但不控制相应下行链路分组的路由。将在通过VRF No.1通信的终端15和操作员工作室No.2,3.2的BAS 19之间建立的IPsec隧道,作为例子使用,该隧道将经过终端和BAS之间的VRF No.1和VRF No.2。VRF No.1中的主机路由保证属于隧道的上行链路分组或者隧道建立程序中的分组,在BRAS 17中被内部地转发到VRF No.2并且保证VRF No.2中的常规路由转发分组到操作员工作室2的BAS。然而,由VRF No.2从BAS 19接收的相应下行链路分组具有出自操作员工作室No.1的地址范围的目的地址。因此,VRF No.2的常规路由表格将指示分组应当被转发到操作员工作室No.2的BAS,尽管在这种情况下,希望的分组处理是将它转发到VRF No.1。
因此,VRF No.2必须能够以不同的方式处理具有来自操作员工作室No.1的地址范围的目的地址的分组,该不同的方式取决于分组是从宽带接入网29内部还是从它的专用操作员工作室到达。如果分组从宽带接入网到达,或者从另一个VRF到达,则VRF No.2应当将其转发到它的专用操作员工作室(即操作员工作室No.2)的BAS 19,而如果分组在向着它的专用操作员工作室的BAS的接口处到达,则VRF No.2应当将它转发到VRF No.1。
可以例如通过针对在向着专用操作员工作室的BAS 19的接口处到达的分组具有单独路由表格来实现这一行为。当VRF根据有关分组到达的接口来使用不同路由表格时,可以对不同路由表格进行不同的配置来引起希望的路由行为。在这个例子的情况下,针对在向着操作员工作室No.2的BAS的接口处到达的分组的路由表格,将指示VRF No.1作为具有来自操作员工作室No.1的地址范围的目的地址的分组的下一跳。而在VRF No.2的另一接口处到达的分组的一个(或多个)路由表格将指示操作员工作室No.2的BAS,或者在到操作员工作室No.2的BAS的路径中的路由器,作为具有属于操作员工作室No.1的地址范围的目的地址的分组的下一跳。
当VRF No.1接收到来自VRF No.2的下行链路分组时,它的常规路由保证了分组在宽带接入网29中向终端15转发。
使用BRAS内部路由的方法,使用具有NAT穿过检测选项的IKEv2,IPsec隧道建立变得更加直接了当。操作员工作室3.1,3.2的BAS 19和AAA设备/模块37,31处理用户认证。
如上所述,还可以通过业务VLAN 41.1,41.2或者本地缺省VLAN 43建立IPsec隧道,无论哪一个当前都与有关RG端口11相关联。另外,可以通过WLAN AP 7和业务VLAN或者本地WLAN AP VLAN 45建立IPsec隧道。
向终端15,15′通知可用潜在隧道端点的方式与使用BRAS 17中的多个操作员工作室特定隧道端点的程序相同。
对使用到所希望的操作员工作室的BAS的BRAS 17中的内部路由接入操作员工作室3.1,3.2的不同步骤总结如下,针对如上的同一例子,即假定漫游用户通过已经与面向操作员工作室No.1的认证连接相关联的RG端口11连接,并且用户想要连接到操作员工作室No.2,所述步骤也包括如图7f的信号图所示的信息传输。
1、漫游用户连接他的终端15到具有与操作员工作室No.1的已建连接的RG端口11.
2、终端15通过和与VRF No.1关联的DHCP服务器61.1进行交互来获取来自操作员工作室No.1的地址范围的IP地址。
3、比如通过从业务入口54获得网页并且在那里找到地址,如图7f所示,或者通过接收特定DHCP选项,该特定DHCP选项包括BAS中的隧道端点的一个或多个IP地址或者FQDN,用户或终端15接收或者获得操作员工作室No.2的BAS 19中的隧道端点的地址。如果终端获取隧道端点的FQDN,在DNS服务器148的帮助下,它使FQDN转换成为一个或多个IP地址,如前面在到BRAS 17中的隧道端点的IPsec隧道建立的说明中所描述的。
4、用户启动终端15中的特定软件开始建立IPsec隧道,该特定软件特别适用于运行IKEv2并且因此建立IPsec隧道的安全性关联(SA)。
5、该特定软件创建了要送往所接收或者所获得的地址的用于建立IPsec隧道的消息,并且通过所连接的RG端口11在RG端口VLAN 55和在VLAN No.1,41.1中发送该消息,该IPsec隧道将所接收的或者所获得的地址作为它的远程端点。
6、专用VRF No.1,47.1通过搜索路由表格检查消息的地址并且发现该请求消息的地址与指示VRF No.2,47.2为下一跳的表格中的条目对应,并且通过互联VRF网络52或者BRAS内部网络转发该消息到VRF No.2。
7、消息由VRF No.2接收,VRF No.2认识到端点的IP地址是属于它本身专用于的操作员工作室的地址,并且然后它转发该请求到操作员工作室No.2的BAS 19。
8、该请求由操作员工作室No.2的BAS 19接收,BAS认识到消息的目的IP地址是属于它或者与它相关联的地址,然后开始建立IPsec隧道并且首先使用EAP用于认证,激活集成在BAS中或者与BAS相关联的AAA客户机37,AAA客户机37进而又与操作员工作室No.2的AAA服务器31进行通信。
9、在集成在BAS 19中或者与BAS 19相关联的EAP认证器(未示出)已经发送EAP身份请求到终端15的情况下,消息开始在AAA服务器31和终端15之间发送,也涉及BAS中的AAA客户机37。
10、终端15使用EAP身份响应做出响应,包括常规NAI形式的用户身份。
11、在操作员工作室No.2中的AAA服务器31和用户终端15之间的EAP认证程序,通过集成在操作员工作室No.23.2的BAS 19中或者与其相关联的AAA客户机37,被执行。EAP认证程序在终端15和认证服务器之间被端到端地处理,认证服务器是操作员工作室No.2中的AAA服务器31。在BAS 19的AAA客户机37和AAA服务器31之间,EAP分组被封装在AAA消息中。
12、在成功认证之后,执行用于建立IPsec隧道的程序。
13、终端15和与操作员工作室No.2相关联的DHCP服务器59进行交互以获得用于IPsec隧道内部分组的IP地址,也称作“内部IP地址”。对于BAS来说还有可能使用IKEv2中的配置净荷来分配内部IP地址给终端。
14、IP地址被发送到BAS 19,BAS向该表格输入:以这个IP地址作为目的地址的分组被转发到所建立的IPsec隧道。如果DHCP服务器59被集成在BAS中,则IP地址在DHCP服务器和其他部分的BAS之间的传送仅仅是BAS内部数据处理。如果DHCP服务器在BAS外部,则或者通过探听在DHCP服务器和终端15之间传送的DHCP消息或者通过从DHCP服务器通过操作员工作室内部通信装置(例如操作员工作室内部网络)来接收该IP地址,BAS可以获得IP地址。
15、用户可以使用TCP/IP通过操作员工作室2的BAS 19启动流量。例如,用户可以接收来自BAS的网页。这样的网页可以提供可用在操作员工作室No.2中的业务。
终端15中的特定软件可以如上所述执行同样的步骤并且被配置。
在这种情况下,除了结合通过IPsec隧道接入到BRAS中的公共隧道端点描述的模块/部件/功能之外,BRAS 17的专用VRF 47.1,47.2可以具有执行操作员工作室接入所需的至少以下模块/部件/功能,见图7e:
-单元250,用于基于进入接口选择路由或者路由表格。
-存储在存储位置217,217′的单独路由表格No.1和2,分别用于在面向VRF 47.1,47.2专用于的操作员工作室3.1,3.2的BAS 19的接口上到达的分组,和用于在其他接口上到达的分组。
在外部宽带接入网中的操作员工作室选择
在外部宽带接入网中,其在此指与用户的归属操作员工作室无关或者不连接到用户的归属操作员工作室的宽带接入网,操作员工作室选择比在归属宽带接入网中的更加复杂。原因在于常规的NAI不能用于指示用户希望访问的操作员工作室,这个工作室这里称作所选的所访问或者所选的希望的操作员工作室。NAI指示订户(即所考虑的用户)的归属操作员工作室3h,见图2i,但是它未提供关于操作员工作室是所希望的所访问的操作员工作室的指示。如上所述,用户可以从终端仅接入她/他的归属操作员工作室或者她/他的归属操作员工作室与其具有漫游协定的操作员工作室。在所涉及的操作员工作室中,使用其他操作员工作室列表存储这样的协定,比如存储在位于它们的AAA服务器31,31h中的存储器64中或者连接到它们的AAA服务器31,31h的存储器64中。
在外部宽带接入网中应当考虑的主要情况包括:
-用户通过CPN接入宽带接入网。
-用户通过WLAN AP接入宽带接入网。
-用户通过IPsec隧道接入宽带接入网。
通过CPN接入
在这种情况下,如果在终端15的客户机软件中存在对选择过程的特定支持,即除了支持EAP之外支持额外的或者修改的软件,可能更容易实现操作员工作室选择。然而,如果客户机软件中不需要任何特定支持,则漫游架构变得更加通用并且可以更容易地包括来自其他类型网络的漫游用户。这两种情况都在下面进行了考虑。
通过CPN接入,具有终端软件的支持
针对这一情况的程序依赖于前面所述的通用扩展格式的修改NAI的概念。在这种情况下,NAI被扩展以包括用户想要访问的所选操作员工作室3.1,3.2的域。因此,在这个情况下已扩展的NAI具有格式:
″home-op-shop/namevisited-op-shop″或者
″home-op-shop!namevisited-op-shop″,
其中″home-op-shop″是用户的归属操作员工作室3h的域,见图2i,″visited-op-shop″是用户想要访问的所选操作员工作室的域,所选操作员工作室即连接到外部宽带接入网29的操作员工作室之一,其被选择作为所访问的操作员工作室,即如图所示的操作员工作室3.1和3.2之一,并且″name″是用户的用户名。
为了产生这样扩展NAI,终端15的软件可以例如允许:
-手工选择,即用户输入他的选择到终端中,和/或
-自动选择,即终端软件包括被设置用来从优选的所访问的操作员工作室的配置列表中选择操作员工作室的功能。
如前所述,来自/与连接到RG端口11的用户或者终端15的通信(没有前面的有效会话)缺省地被指向本地缺省VLAN 43,其中EAP认证程序由BRAS 17的认证器56和AAA客户机23发起。如果终端在认证程序期间要提供具有上面所述格式的扩展NAI,则该终端需要可用的操作员工作室(即关于连接到宽带接入网29的操作员工作室3.1,3.2)的信息,RG端口通过AN 13连接到该宽带接入网29。宽带接入网可以以不同方式提供这个信息:
a)宽带接入网29用来广告可用操作员工作室的第一种方式是用于3GPP-WLAN互联所建议的方法。这个方法在Farid Adrangi(Ed.)在2004年2月在互联网草案<draft-adrangi-eap-network-Discovery-and-Selection-01.txt>的″Mediating NetworkDiscovery and Selection(仲裁网络发现和选择)″中有所描述。基本思想是:在宽带接入网从终端接收到具有未识别域部分(即对其无可用AAA路由的域)的NAI的情况下,通过EAP向终端15提供操作员工作室信息。用户或者终端然后选择所广告的操作员工作室之一并且提供第二NAI到宽带接入网,这次扩展NAI的格式如上所述。
b)宽带接入网29用来广告可用操作员工作室的第二种方式是使用新的链路层协议来在本地缺省VLAN 43中广播信息。
c)第三种方式是让用户通过离线装置检索操作员工作室信息。
d)已经描述了不依赖于由宽带接入网29提供的信息的可选方法,并且在这些方法中,要么终端15被设计来将优选访问操作员工作室列表传送给宽带接入网,并且使网络做出这个选择,如在公开出版的国际专利申请WO 2006/038843“用于漫游UMTS/WLAN订户的中间网络的终端控制选择(Terminal controlled selection of intermediary networkfor roaming UMTS/WLAN subscribers)”中所描述的,要么它们依靠中心Diameter重新指向代理的支持,如在所公开出版的国际专利申请WO 2006/038844“用于漫游UMTS/WLAN订户的中间网络的归属网络控制选择(Home network controlled selection ofintermediary network for roaming UMTS/WLAN subscribers)”中所描述的。
在任何一种情况下,AAA代理服务器27识别所修改的NAI中的所选访问操作员工作室的域并且将包含EAP身份请求的AAA消息路由到所选访问操作员工作室3.1或者3.2的AAA服务器31。在转发AAA消息之前,AAA代理服务器可以或不从所修改的NAI去除所选访问操作员工作室的域并且将NA I转换到它的常规格式。当所选访问操作员工作室的AAA服务器31接收到包含EAP身份请求的AAA消息时,它认识到归属操作员工作室的域为属于它与其具有漫游协定的操作员工作室,并且将AAA消息路由到归属操作员工作室3h的AAA服务器31h。如果AAA代理服务器27没有将NAI转换到它的常规格式,那么在将它转发到归属操作员工作室的AAA服务器之前,所选访问操作员工作室的AAA服务器将扩展NAI转换到它的常规格式。然后,用户认证程序在用户/终端15和用户的归属AAA服务器31之间被执行,AAA请求通过BRAS的AAA客户机23、AAA代理服务器27、所选操作员工作室3.1,3.2之一的AAA服务器31被路由到归属AAA服务器31h。在成功用户认证之后,BRAS 17例如通过SNMP或者BRAS可以控制AN所使用的一些其他协议指示有关AN 13来使有关RG端口VLAN 55与业务VLAN 41.1,41.2相关联,业务VLAN 41.1,41.2与所选访问操作员工作室相关联,例如如果选择了操作员工作室No.2,则是VLAN No.2,而不是本地缺省VLAN 43。于是用户可以继续通过DHCP获取IP地址,在该例子中从操作员工作室3.2的DHCP服务器59获取IP地址,从而使得能够进行随后的与所选访问操作员工作室的以及与所选访问操作员工作室之外的网络的IP通信。为了使BRAS17知道要指示哪个AN,必须使用虚拟MAC地址。
在上面的描述中,假定AAA客户机23位于BRAS 17中,紧密连接到本地VRF 49。然而,如果AAA客户机替代地位于AN 13中,则在这种接入情况下,既不需要本地缺省VLAN 43也不需要虚拟MAC地址来获取上面所述的VLAN关联。
如果用户/终端15仅希望接入到本地业务网络51,则用户/终端可以提供(就像在通过归属宽带接入网接入的情况下)具有属于宽带接入网29的域部分的特定NAI,该特定NAI专用于这个目的。然后,AN 13可以在有关RG端口VLAN 55和本地缺省VLAN 43之间保持关联。
参照图8a的信号图,对在AAA客户机23位于BRAS 17中的情况下用于漫游用户接入外部操作员工作室3.1,3.2所需的不同步骤、提供在用户终端中的特定软件和如上所述的用于通知用户的方法a)概述如下。假定用户从终端15登录到RG 1的特定端口11上的CPN 5。步骤1-7与前面所述的步骤1-7相同,除非另外明确规定,前面所述的步骤1-7用于用户通过她/他的归属宽带接入网中的CPN 5接入操作员工作室3.1,3.2并且AAA客户机23位于BRAS17中的情况。同样,步骤16-19与前面所述的用于同一情况的步骤10-13相同,唯一区别在于,当用户接入外部宽带接入网时,所选择的连接到宽带接入网29的操作员工作室3.1,3.2之一用作所访问的操作员工作室而不是归属操作员工作室。为了易于理解,下面将重复这些步骤,但是使用更加概括的方式。另外,总的区别在于,在用户通过他的归属宽带接入网中的CPN 5接入操作员工作室3.1,3.2并且AAA客户机23位于BRAS 17中的情况下,用于解释说明前面所述的步骤的例子中,假定操作员工作室No 1,3.1被选择,而在用于解释说明下面的步骤的例子中,假定操作员工作室No 2,3.2被选择,即它是所访问的操作员工作室,但是这个区别同样地对于程序不重要。
1、用户例如通过简单地开启被假定连接到RG端口11的终端设备来连接她/他的终端到宽带接入网29。
2、来自终端15的一个或多个帧在AN 13中被接收,被重加标签并且被转发到本地缺省VLAN 43。
3、来自终端15的重加标签的一个或多个帧在BRAS 17的本地VRF49中被接收并且具体地由符号标记为56的认证器来接收。
4、认证器56发送EAP身份请求到终端15。
5、终端15使用EAP身份响应进行响应,包括如上所述的常规NAI形式的用户身份。
6、认证器传送EAP身份响应给BRAS 17中的AAA客户机功能23。
7、AAA客户机23在AAA消息中发送EAP身份响应给AAA代理服务器27。
8、AAA代理服务器27检查NAI并且识别它无可用AAA路由的域部分。
9、AAA代理服务器27通过EAP向终端15发送消息,通常为EAP身份请求,包含关于可用操作员工作室的信息。在AAA代理服务器27和AAA客户机23之间,消息被携带在AAA消息中。
10、终端15接收关于可用操作员工作室的信息并且选择其中之一,其与归属操作员工作室具有漫游协定。
11、终端15发送新的EAP身份响应,该EAP身份响应包括具有如上所述的扩展格式的NAI。
12、消息由AAA代理服务器27接收,该AAA代理服务器27转发AAA请求到所想要的访问操作员工作室(在该例子中为操作员工作室No.2,3.2)的AAA服务器31。
13、所想要的访问操作员工作室中的AAA服务器31检查NAI并且找到用户的归属操作员工作室31的域。
14、所想要的访问操作员工作室(在这个例子中为操作员工作室3.2)中的AAA服务器31转发消息到归属操作员工作室3h的AAA服务器31h。
15、在归属操作员工作室3h的AAA服务器31h和用户终端15之间的EAP认证程序,通过在这个例子中的操作员工作室No.2,3.2的AAA服务器31、BRAS 17的AAA代理服务器27和AAA客户机23被执行。EAP认证程序在终端15和认证服务器之间被端到端地执行,其中认证服务器是归属操作员工作室3h的AAA服务器31h。在BRAS 17的AAA客户机23和归属AAA服务器31h之间,EAP分组被封装在AAA消息中。
16、BRAS 17中的逻辑功能单元57获取信息,即EAP/AAA程序(特别是识别与认证程序)已经完成的信息以及已经选定操作员工作室的信息。在步骤13中对此有四个选择,步骤13是针对用户通过他的归属宽带接入网中的CPN 5接入操作员工作室3.1,3.2并且AAA客户机23位于BRAS 17中的情况,而在这种情况下四个选择中仅选择a和d相关。另外,对于AAA客户机和AAA代理服务器来说可能提供每个信息的一部分给LU 57。AAA客户机23然后将提供终端15的VMAC地址以及AAA会话的会话标识符。当AAA客户机接收到EAP身份请求或者在它已经通过所选访问操作员工作室(在这个例子中为操作员工作室No.2,3.2)中的AAA服务器31、通过AAA代理服务器27从归属操作员工作室3h中的AAA服务器31h接收到AAA消息之后,它可以做这,其中AAA消息包括成功用户认证的指示。AAA代理服务器将提供等于所选访问操作员工作室的域的FQDN,或者可能地所选访问操作员工作室的某一其他BRAS内部标识符,以及AAA会话的会话标识符。通过分别匹配从AAA客户机23和AAA代理服务器27接收的会话标识符,逻辑功能单元57将分别关联VMAC地址和FQDN,或者另一BRAS内部标识符。逻辑功能单元指示AN 13来改变VLAN之间的现有关联,使用终端15的VMAC地址来找到正确的AN13。
17、AN 13接收到关联指示消息并且因此为VLAN改变标签。
18、在用户已经被认证之后,使用BRAS 17中的各个DHCP服务器61.2作为DHCP中继代理,终端15可以继续获取由所希望的访问操作员工作室(在这个例子中为操作员工作室No.2,3.2)中的DHCP服务器59提供的IP地址。可选地,BRAS 17中的DHCP服务器61.1可以从所希望的访问操作员工作室(比如操作员工作室No.2,3.2)的地址范围直接分配IP地址到终端15,如果被指配预定地址范围的话。
19、在终端15已经被给定IP地址之后,用户可以使用TCP/IP通过VLAN 41.2、VRF47.2以及所希望访问的操作员工作室(比如操作员工作室No.2,3.2)的BAS 19启动流量。
AN 13和BRAS 17可以具有如在用户通过他的归属宽带接入网接入的情况下的相同的部件和功能。另外,AAA代理服务器27可以具有单元223,见图8b,用于响应具有不可识别域部分的NAI,以及单元225,用于处理扩展NAI。这样的处理单元于是可以被设置来分析所接收的扩展NAI、提取归属操作员工作室的域以及NAI的源希望用作所访问的操作员工作室的操作员工作室的域。比如通过参考存储在存储位置227的表格或者列表,它可以比较所希望访问的操作员工作室的域和那些连接到BRAS的操作员工作室的域,并且如果所希望的操作员工作室的域与表格中的条目一致,则路由AAA消息(其中的一些包括EAP分组)到各个操作员工作室3.1,3.2的AAA服务器31。终端15必须具有一些特定软件,见图8d,比如例如单元231,用于接收适当EAP分组中的关于可用操作员工作室的信息,以及单元233,用于准备和提供扩展NAI。操作员工作室3.1,3.2的AAA服务器31如上所述可以使用它们与其具有漫游协定的操作员工作室的列表,所述列表存储在存储位置64中。此外,它们可以包括(见图8e)用于处理扩展NAI的单元235,这样的单元被设置来分析扩展NAI、来提取扩展NAI的源的归属操作员工作室的域、来比较所提取的域与表格中的条目并且在检测到与条目一致的情况下来路由AAA消息(其中的一些包括EAP分组)到归属操作员工作室3h的AAA服务器31h。
通过CPN接入,而无终端软件的支持
如上所述,当用户或者终端15连接到RG端口11时,没有前面的有效会话时,她/他/它进行被缺省地指向本地缺省VLAN 43的通信,其中EAP认证程序由BRAS 17的认证器56发起。这对于想要通过外部宽带接入网接入操作员工作室的用户来说显然也有效。
由于在这种情况下假定终端15的软件不支持操作员工作室选择程序,终端不能接收由宽带接入网29广告的操作员工作室信息,不管该信息是使用EAP还是新的链路层协议(即如上所述的选择a)和b))被广告的。因此,终端将提供用户的常规的NAI给宽带接入网,除非用户已经离线地(即以不使用宽带接入网的业务的某种适当方式)获得操作员工作室信息,并且手工地扩展NAI。
当面对不可路由的NAI时,宽带接入网29,特别是其BRAS 17,在这种情况下被设置成通过立即发送EAP成功分组、准许用户接入本地业务网络51以及保持RG端口VLAN 55和本地缺省VLAN 43之间的缺省关联来绕掉实际的认证程序。在发送EAP成功分组之前,宽带接入网可以可选地发送具有可显示消息的EAP通知请求分组给终端15,该可显示消息指示用户启动她/他的浏览器来选择操作员工作室或者在本地业务网络51中的公共可用业务。EAP成功分组和可选的前面的EAP通知请求分组可以由认证器56或者AAA代理服务器27发送。在后一种情况下,认证器从终端传送EAP身份响应分组到AAA客户机23,AAA客户机23转发包括在AAA消息中的EAP身份响应分组到AAA代理服务器27。然后,AAA代理服务器发现分组是不可路由的。在前一种情况下,认证器56本身发现从终端15接收的EAP身份响应中的NAI的域部分不属于连接到宽带接入网29的任何一个操作员工作室3.1,3.2,并且因此不传送分组到AAA客户机23。
于是,在从宽带接入网29的地址空间获取IP地址之后,当用户使用她/他的浏览器时,在终端15的DHCP客户机和BRAS 17的通用DHCP服务器62之间的程序中,她/他被重新指向宽带接入网的业务入口54上的网页,除非她/他试图接入本地业务网络51中的特定网页。在从业务入口获得的网页上,用户可以在可用操作员工作室以及在来自本地业务网络的业务之间进行选择。
如果用户选择接入本地业务,则如由接入点13处理的VLAN关联(即在RG端口VLAN55和本地缺省VLAN 43之间的关联),以及IP地址可以保持它们原样。
如果用户点击用于可用操作员工作室之一的符号,这通过耦合到所显示的网页的程序来触发BRAS 17开始执行以下步骤,比如由逻辑功能单元57控制的:
1、BRAS 17存储关于所选操作员工作室的信息并且将它与用于有关终端15的虚拟MAC地址相关联,或者如果没有使用虚拟MAC地址,则与终端15的实际MAC地址相关联。
2、BRAS 17使用DHCP强制重新开始程序以及对来自客户机的对来自宽带接入网29的地址空间的它的IP地址的租期进行延长的可能请求的随后拒绝,从而强制用户终端15中的DHCP客户机进入INIT状态。
3、BRAS 17向终端15启动新的EAP程序,但是这次使用了所存储的用户选择的操作员工作室。
-这个新的EAP程序将以与前面一个相同的方式开始,即使用EAP认证器56或者AAA代理服务器27发送EAP身份请求分组到终端15,但是这次BRAS 17知道将要路由所得到的AAA请求到哪个操作员工作室3.1,3.2。因此,保证了AAA请求结束在所选操作员工作室3.1,3.2中,即在其AAA服务器31中,不管用户提供了哪个NAI。实现这一点的一种方式是在将它移交到BRAS的AAA客户机23之前让BRAS 17中的某个单元(例如EAP认证器56)将NAI修改成前面所述的扩展格式,但是AAA请求也可以被路由到所选操作员工作室而无任何NAI修改,因为了解所选操作员工作室的BRAS包括EAP认证器单元56、AAA客户机23和AAA代理服务器27。
-如果BRAS 17未能发起第二EAP程序,或者如果认证失败,则与用于有关用户的虚拟MAC地址(或者如果没有使用虚拟MAC则为用户终端15的MAC地址)相关联的操作员工作室选择信息,最终超时并且被删除。
-可以用于这种情况的另一种方法是依靠中心Diameter重新指向代理的支持,其在所引用的公开出版的国际专利申请WO 2006/038844中有所描述。那个方法基于中心Diameter重新指向代理,该中心Diameter重新指向代理聚集关于漫游协定和所访问的网络(即所访问的操作员工作室)的信息、关于来自操作员(即基本上来自归属操作员工作室)的优先列表的信息。可以通过实时操作、非实时半手工操作或者手工离线操作来获得Diameter重新指向代理信息。在使用这个方法的情况下,漫游用户的终端将提供具有域部分的NAI,该域部分具有特定结束,跟随着表示用户的归属操作员工作室的部分,其表示中心Diameter代理的域。因此,宽带接入网29的AAA代理服务器27将路由与用户有关的第一AAA消息到中心Diameter重新指向代理。Diameter重新指向代理返回潜在的中间的(即所访问的)操作员工作室的AAA服务器的优先列表。AAA代理服务器搜索所接收的它与之具有关联的操作员工作室的AAA服务器的列表,该操作员工作室即是连接到宽带接入网的操作员工作室之一,并且选择具有指示的最高优先级的那些之一。然后,AAA代理服务器将初始AAA消息路由到所选的访问的操作员工作室3.1,3.2的AAA服务器31。
4、在成功的用户认证之后,BRAS 17例如通过SNMP或者BRAS可以控制AN所使用的某种其它协议来指示有关AN 13使有关RG端口VLAN 55与业务VLAN 41.1,41.2相关联,业务VLAN 41.1,41.2与所选操作员工作室3.1,3.2相关联,例如如果操作员工作室No.1被选择,则是VLAN No.1,而不是本地缺省VLAN 43。于是终端15接着可以通过DHCP获取IP地址来使得能够进行随后的IP通信。为了使BRAS 17知道要指示哪个AN 13,必须使用虚拟MAC。
在上面的描述中,AAA客户机23被假定位于BRAS 17中、连接到本地VRF 49,但是如果位置最接近终端的AAA客户机位于AN 13中,则不需要虚拟MAC用于这个目的,但是BRAS然后必须能够触发AN来向终端15重新发起EAP程序,并且例如使用SNMP或者BRAS可以控制AN所使用的某种其它协议,可能地向AN通知所选操作员工作室。
如果希望仅接入到本地业务网络51,则用户可以提供(如在通过用户的归属宽带接入网接入的情况)特定NAI(其具有属于宽带接入网29的域部分),专用于此目的。AN 13于是可以在有关RG端口VLAN 55和本地缺省VLAN 43之间保持它的关联。然而,在结束第二EAP程序之前,来自漫游用户的终端15的通信无论如何将被限制到本地缺省VLAN 43和本地业务网络51。因此,在未发起第二EAP程序的情况下,漫游用户的终端也使用上述特定NAI,可以提供用户的常规NAI并且然后选择仅接入来自本地业务网络的业务。
参照示例了不同情况的图9a和9b的信号图,对在AAA客户机23位于BRAS 17中以及在终端15中没有提供特定软件的情况下用于漫游用户接入操作员工作室3.1,3.2所需的不同步骤概述如下。假定用户从终端15登录到RG 1的特定端口11上的CPN 5。步骤1-7与前面所述的步骤1-7相同,除非另外明确规定,其中前面所述的步骤1-7用于用户通过他的归属宽带接入网中的CPN 5接入操作员工作室3.1,3.2并且AAA客户机23位于BRAS 17的情况。同样,用于图9a中例示的情况的步骤25-28和用于图9b中例示的情况的步骤26-29与前面所述的用于用户通过他的归属宽带接入网中的CPN 5接入操作员工作室3.1,3.2并且其中AAA客户机23位于BRAS 17中的情况的步骤10-13相同,唯一区别在于,当用户接入外部宽带接入网时,所选择的连接到宽带接入网的操作员工作室3.1,3.2之一用作所访问的操作员工作室而不是归属操作员工作室。为了易于理解,下面将重复这些步骤,但是使用更加概括的方式。另外,总的区别在于,在用于解释说明前面所述的步骤的例子中(其中用户通过他的归属宽带接入网中的CPN 5接入操作员工作室3.1,3.2并且AAA客户机23位于BRAS 17中),选择了操作员工作室No.13.1,而在用于解释说明下面的步骤的例子中,选择了操作员工作室No 2 3.2,即它是所访问的操作员工作室,但是这个区别同样地对于程序不重要。针对用于发现NAI不属于连接到宽带接入网的任何操作员工作室的实体(即AAA代理服务器27或者EAP认证器56)的上述两个选择,在下面步骤的描述中假定为AAA代理服务器27。
首先将描述针对图9a中所示的情况的步骤。
1、用户例如通过简单地开启被假定连接到RG端口11的他的终端设备来连接他的终端15到宽带接入网29。
2、来自终端15的一个或多个帧通过家用网关1或者交换机在AN 13中被接收,在那里被重加标签并且被转发到本地缺省VLAN 43。
3、来自终端15的重加标签的一个或多个帧在BRAS 17的本地VRF 49中被接收。
4、EAP身份请求被从本地VRF 49发送到终端15。
5、终端15使用EAP身份响应进行响应,包括如上所述的常规NAI形式的用户身份。
6、本地VRF 49传送EAP身份响应给BRAS 17中的AAA客户机功能23。
7、AAA客户机23在AAA消息中发送EAP身份响应给AAA代理服务器27。
8、AAA代理服务器27检查NAI并且识别它无可用AAA路由的域部分。
9a、在这个可选步骤中,AAA代理服务器27可以发送EAP通知请求分组给终端15,包含可显示文本串,用来指示/建议用户启动她/他的浏览器并且选择操作员工作室。
9b、在这个可选步骤中,只有当步骤9a被执行才执行,AAA代理服务器27接收从终端返回的EAP通知响应。根据EAP规范,这样的响应是强制的。
10、AAA代理服务器27发送EAP成功分组给终端。
11、终端15接收EAP成功分组并且从BRAS DHCP服务器62获取IP地址。
12、终端15通过它的浏览器连接到本地业务网络51中的业务入口54,要么直接地连接要么在试图连接到本地业务网络之外的服务器期间被重新指向之后连接。
13、终端15接收到来自业务入口51的网页,该网页包括关于可用操作员工作室的信息。
14、用户使用她/他的终端15的浏览器选择与用户的归属操作员工作室3h具有漫游协定的可用操作员工作室之一。
15、关于所作的选择的信息被传送到BRAS 17,比如首先到业务入口54。
16、关于所作的选择的信息被存储到BRAS 17中,比如首先从业务入口54被传送到逻辑功能单元57并且然后被这个单元存储在适当的存储器中,该信息例如以NAI的域部分的形式存储或者以所选操作员工作室的某个其它BRAS内部指示器的形式存储,所述BRAS内部指示器耦合到例如用于终端15的虚拟MAC地址或者标识用户终端的一些其他适当信息。可以通过例如将这些存储数据存储在一起、使用参考(比如它们之间的指针)单独地存储它们、将它们存储在相互软件“对象”中(比如在面向对象的编程语言中)来执行这些存储数据的相互耦合。
17、例如由逻辑功能单元57发送消息到DHCP服务器62所命令的,BRAS 17传送消息例如DHCP FORCERENEW(DHCP强制更新)消息到终端15,强制它根据DHCP进入INIT状态,使得终端的IP地址不再可用。如果终端随后请求DHCP服务器更新或者延长终端的旧IP地址的租期,则DHCP服务器将拒绝这样的请求。
18、比如由从逻辑功能单元57接收的消息所命令的,BRAS 17例如AAA代理服务器27,发送EAP身份请求给终端15。
19、终端15发送EAP身份响应,包括具有常规NAI形式的用户身份。
20、EAP身份响应由BRAS AAA客户机23接收,AAA客户机23将它包括在AAA消息中并且发送它到AAA代理服务器27。
21、消息由AAA代理服务器27接收,如上所述用于在步骤6和7中的初始EAP身份响应。AAA代理服务器检查NAI并且将它与所存储的条目进行比较,在这个例子中发现操作员工作室No.2,3.2被选择作为所访问的操作员工作室并且转发AAA请求到操作员工作室No.2,3.2的AAA服务器31。
22、所想要访问的操作员工作室(在这个例子中为操作员工作室No.2,3.2)中的AAA服务器31,检查AAA请求的NAI并且找到用户的归属操作员工作室3h的域。
23、所想要访问的操作员工作室中的AAA服务器31转发消息到归属操作员工作室3h的AAA服务器31h,也见图2j。
24、在归属操作员工作室3h的AAA服务器31h和用户终端15之间的EAP认证程序在这个例子中通过操作员工作室No.2,3.2的AAA服务器31、BRAS 17的AAA代理服务器27和AAA客户机23被执行。这个EAP认证程序在终端15和认证服务器之间被端到端地执行,其中认证服务器是归属操作员工作室3h的AAA服务器31h。在BRAS 17的AAA客户机23和归属AAA服务器31h之间,EAP分组被封装在AAA消息中。
25、BRAS 17中的逻辑功能单元57获取信息,该信息关于EAP/AAA程序已经完成以及关于已经被选择的操作员工作室(如果在上面的步骤16中它还没有被通知所选操作员工作室)。在步骤13中的对此有四个选择,步骤13是针对用户通过他的归属宽带接入网中的CPN 5接入操作员工作室3.1,3.2以及AAA客户机23位于BRAS 17中的情况,而在这种情况下四个选择中仅选择a)和d)相关。另外,AAA客户机23和AAA代理服务器27还可能提供每个信息的一部分给LU 57。AAA客户机然后将提供终端15的VMAC地址以及AAA会话的会话标识符。当AAA客户机23接收到EAP身份请求时或者在它已经从归属操作员工作室的AAA服务器31h通过所选访问操作员工作室中的AAA服务器31、通过AAA代理服务器27接收到包括成功用户认证指示的AAA消息之后,它可以做这一点。AAA代理服务器将提供等于所选访问操作员工作室的域的FQDN、或者所选的访问操作员工作室的某个其他适当BRAS内部标识符,以及AAA会话的会话标识符。通过分别匹配从AAA客户机23和AAA代理服务器27接收的会话标识符,逻辑功能单元57将分别关联VMAC地址和FQDN,或者另一BRAS内部标识符。逻辑功能单元指示AN 13来改变VLAN之间的现有关联,使用终端15的VMAC地址来发现正确的AN 13。
26、AN 13接收到关联指示消息并且因此为VLAN改变标签。
27、在用户已经被认证之后,使用BRAS 17中的各个DHCP服务器61.2作为DHCP中继代理,终端15可以接着获取由所选访问操作员工作室(在这个例子中为操作员工作室No.2,3.2)中的DHCP服务器59提供的IP地址。可选地,如果被指配预定地址范围,BRAS 17中的DHCP服务器61.2可以从所选访问操作员工作室(在这个例子中为操作员工作室No.2,3.2)的地址范围直接分配IP地址给终端15。
28、在终端15已经被给定IP地址之后,用户可以使用TCP/IP通过VLAN 41.2、VRF47.2以及所选访问操作员工作室(在这个例子中为操作员工作室No.2,3.2)的BAS 19启动流量。
第二,针对图9b所示的情况的步骤将描述如下。
1、用户例如通过简单地开启被假定连接到RG端口11的他的终端设备来连接他的终端15到宽带接入网29。
2、来自终端15的一个或多个帧通过家用网关1或者交换机在AN 13中被接收,在这里被重加标签并且被转发到本地缺省VLAN 43。
3、来自终端15的重加标签的一个或多个帧在BRAS 17的本地VRF 49中被接收,通过转发它们到符号56表示的EAP认证器进行响应。EAP认证器56可以与本地VRF 49相关联、连接到本地VRF 49或者与本地VRF 49相集成。
4、EAP认证器56发送EAP身份请求到终端15。
5、终端15使用EAP身份响应进行响应,包括如上所述的常规NAI形式的用户身份。
6、EAP认证器56传送EAP身份响应给BRAS 17中的AAA客户机功能23。
7、AAA客户机23在AAA消息中发送EAP身份响应给AAA代理服务器27。
8、AAA代理服务器27检查NAI并且识别它无可用AAA路由的域部分。
9a、在这个可选步骤中,AAA代理服务器27可以发送EAP通知请求分组给终端15,包括可显示文本串,指示/建议用户启动她/他的浏览器并且选择操作员工作室。
9b、在这个可选步骤中,只有当步骤9a被执行才执行,AAA代理服务器27接收从终端返回的EAP通知响应。根据EAP规范,这样的响应是强制的。
10、AAA代理服务器27发送EAP成功分组给终端15。
11、终端15接收EAP成功分组并且获取来自BRAS DHCP服务器62的IP地址。
12、终端15通过它的浏览器连接到本地业务网络51中的业务入口54,要么直接地连接要么在试图连接到本地业务网络之外的服务器期间被重新指向之后连接。
13、终端15接收到来自业务入口51的网页,该网页包括关于可用操作员工作室的信息。
14、用户使用她/他的终端15的浏览器选择与用户的归属操作员工作室3h具有漫游协定的可用操作员工作室之一。
15、关于所做选择的信息被传送到BRAS 17,比如首先到业务入口54。
16、关于所做选择的信息被存储到BRAS 17,比如首先从业务入口54传送到逻辑功能单元57并且然后由这个单元存储在适当的存储器中,该信息例如以NAI的域部分的形式存储或者以所选操作员工作室的某个其它BRAS内部指示器的形式来存储,所述BRAS内部指示器耦合到例如用于终端15的虚拟MAC地址或者标识用户终端的一些其他适当信息。
17、例如由逻辑功能单元57发送消息到DHCP服务器62所命令的,BRAS 17传送消息,例如DHCP FORCERENEW(DHCP强制更新)消息,到终端15,迫使它根据DHCP进入INIT状态,使得终端的IP地址不再可用。如果终端随后请求DHCP服务器更新或者延长终端的旧IP地址的租期,则DHCP服务器将拒绝这样的请求。
18、比如由从逻辑功能单元57接收的消息所命令的,BRAS 17,例如EAP认证器56,发送EAP身份请求给终端15。
19、终端15发送EAP身份响应(包括具有常规NAI形式的用户身份)给EAP认证器56。
20、EAP认证器56传送EAP身份响应给BRAS 17中的AAA客户机功能23。
21、EAP身份响应由BRAS AAA客户机23接收,AAA客户机23将EAP身份响应包括在AAA消息中并且发送它到AAA代理服务器27。
22、AAA代理服务器27接收AAA消息,检查NAI并且比较它与所存储的条目,在这个例子中发现操作员工作室No.2,3.2被选择作为所访问的操作员工作室并且转发AAA请求到所选访问操作员工作室中(在这个例子中为操作员工作室No.2,3.2)的AAA服务器31。
23、所想要的访问操作员工作室(在这个例子中为操作员工作室No.2,3.2)中的AAA服务器31,检查AAA请求的NAI并且找到用户的归属操作员工作室3h的域。
24、所想要的访问操作员工作室中的AAA服务器31转发消息到归属操作员工作室3h的AAA服务器31h,也见图2j。
25、在归属操作员工作室3h的AAA服务器31h和用户终端15之间的EAP认证程序在这个例子中通过操作员工作室No.2,3.2的AAA服务器31、BRAS 17的AAA代理服务器27和AAA客户机23被执行。这个EAP认证程序在终端15和认证服务器之间被端到端地执行,其中认证服务器是归属操作员工作室3h的AAA服务器31h。在BRAS 17的AAA客户机23和归属AAA服务器31h之间,EAP分组被封装在AAA消息中。
26、BRAS 17中的逻辑功能单元57获取信息,该信息关于EAP/AAA程序已经完成以及关于已经被选择的操作员工作室(如果在上面的步骤16中它还没有被通知已经被选择的操作员工作室)。在步骤13中对此有四个选择,步骤13是针对用户通过他的归属宽带接入网中的CPN 5接入操作员工作室3.1,3.2并且AAA客户机23位于BRAS 17中的情况,而在这种情况下四个选择中仅选择a)和d)相关。另外,AAA客户机23和AAA代理服务器27可能提供每个信息的一部分给LU 57。AAA客户机然后将提供终端15的VMAC地址以及AAA会话的会话标识符。当AAA客户机23接收到EAP身份请求时或者在它已经从归属操作员工作室的AAA服务器31h通过所选访问操作员工作室中的AAA服务器31、通过AAA代理服务器27接收到包括成功用户认证的指示的AAA消息之后,它可以做这一点。AAA代理服务器将提供等于所选访问操作员工作室的域的FQDN、或者所选访问操作员工作室的某个其他适当的BRAS内部标识符、以及AAA会话的会话标识符。通过分别匹配从AAA客户机23和AAA代理服务器27接收的会话标识符,逻辑功能单元57将分别关联VMAC地址和FQDN,或者另一BRAS内部标识符。逻辑功能单元指示AN 13来改变VLAN之间的现有关联,使用终端15的VMAC地址来发现正确的AN 13。
27、AN 13接收到关联指示消息并且因此为VLAN改变标签。
28、在用户已经被认证之后,使用BRAS 17中的各个DHCP服务器61.2作为DHCP中继代理,终端15可以接着获取由所选访问操作员工作室(在这个例子中为操作员工作室No.2,3.2)中的DHCP服务器59提供的IP地址。可选地,如果被指配了预定地址范围,BRAS 17中的DHCP服务器61.2可以从所选访问操作员工作室(在这个例子中为操作员工作室No.2,3.2)的地址范围直接分配IP地址到终端15。
29、在终端15已经被给定IP地址之后,用户可以使用TCP/IP通过VLAN 41.2、VRF47.2以及所选访问操作员工作室(在这个例子中为操作员工作室No.2,3.2)的BAS 19启动流量。
如在用户通过他的归属宽带接入网接入的情况,AN 13和BRAS 17可以具有相同的部件和功能。
另外,AAA代理服务器27可以具有单元237,见图9c,用于分析NAI并且对其域部分与可用操作员工作室进行比较,以及单元238,用于响应具有不可识别域部分的NAI,单元238包括可选子单元用于传送消息要求用户启动浏览器,以及子单元,用于传送EAP成功消息给终端。对于该比较,它可以参考存储在存储位置227中的表格或者列表。可选地,EAP认证器56可以具有这样的附加单元,见图9g。AAA代理服务器27或者EAP认证器分别可以进一步包括单元239,用于接收指令来强制新的认证过程并且发送消息到终端15用于开始这样的新的认证过程。AAA代理服务器可以具有单元241,用于将NAI或者类似信息与存储列表中的条目进行比较,并且将其信息与条目一致的NAI路由到操作员工作室3.1,3.2的AAA服务器31(对此存在与所述条目相关联的存储的标识)。
逻辑单元57(见图9d)可以与BRAS 17中的某个其他单元共处或者包括在其中,逻辑单元57可以包括单元243,用于当用户点击网页上的适当符号时接收来自业务入口54的所选操作员工作室的信息,单元245,用于在存储位置247中存储该信息以及标识用户终端的必要信息(比如其VMAC地址),以及单元249,用于发送指令到AAA代理服务器27或者EAP认证器56来强制新的认证过程和/或发送指令来强制更新终端的IP地址。
操作员工作室3.1,3.2的AAA服务器31如上所述可以使用存储在存储位置64中的它们与其具有漫游协定的操作员工作室的列表。此外,它们可以包括(见图9e)单元251,用于处理NAI,这样的单元被安排来分析NAI、提取其域部分、比较域与表格中的条目并且在检测到与条目一致的情况下路由AAA消息(其中的一些可以包括EAP分组)到归属操作员工作室的AAA服务器31h。
业务入口54(如图9f所示)可以包括单元,用于发送网页(比如包括关于可用操作员工作室的信息的网页);单元,用于当网页被显示在用户设备上时接收来自网页的信息,或者更具体地用于接收从终端接入这样的网页的或者来自这样的网页上的链接中的HTTP消息中的信息,比如关于所选操作员工作室的信息;以及单元,用于响应这样接收的信息,转发该信息到某些适当的接收方,比如逻辑功能单元57或者可能EAP认证器56。
通过公共WLAN AP接入,支持虚拟AP概念
对于支持虚拟AP概念的公共WLAN AP 7,接入程序基本上类似于上面所述的用于用户通过她/他的归属宽带接入网接入的程序,只是认证程序从归属操作员工作室3h的AAA服务器被执行而不是从连接到宽带接入网29的操作员工作室的AAA服务器被执行,并且可以具体包括至少以下步骤。
如前所述,当用户或者终端15′通过公共WLAN AP 7接入宽带接入网29时,她/他/它必须使用与她/他所选择的操作员工作室3.1,3.2相关联的SSID。除了SSID的内容本身之外,也可以预先从业务入口54获得指南信息,用户/终端可以使用与本地WLAN AP VLAN 45相关联的SSID首先附连到WLAN AP 7而到达业务入口54。
WLAN AP然后将确保由EAP程序引起的AAA请求被路由到所选操作员工作室3.1,3.2,要么通过修改NAI为扩展格式,比如:″home-op-shop/nameop-shop-realm-associated-with-selected-SSID″或者home-op-shop!nameop-shop-realm-associated-with-selected-SSID,要么通过以某些适当方式传递相应信息(比如所使用的SSID)到AAA代理服务器27。
然而,认证程序必须从用户的归属操作员工作室3h的AAA服务器31h做出。因此,当AAA代理服务器27接收到包含EAP身份请求的AAA消息时,它转发AAA请求给所想要访问的操作员工作室的AAA服务器31,所想要访问的操作员工作室由扩展NAI或者其他相当信息所指示。在转发AAA消息之前,AAA代理服务器从AAA消息去除“相当信息”,例如所使用的SSID(如果有的话)。如果使用了扩展NAI,则使用与所描述的其中漫游用户通过CPN(使用扩展NAI方法以表示所想要访问的操作员工作室)接入外部宽带接入的情况相同的方式对AAA消息进行处理。即,AAA代理服务器或者所选操作员工作室的AAA服务器在转发AAA消息之前将所修改的NAI变成常规格式。所想要访问的操作员工作室3.1或3.2中的AAA服务器31检查NAI,找到用户的归属操作员工作室3h的域,检查到存在漫游协定,并且转发AAA请求到适当的认证服务器,即用户的归属操作员工作室的AAA服务器31h。然后,EAP认证程序在归属操作员工作室3h的AAA服务器31h和用户终端15′之间通过所选访问操作员工作室3.1,3.2的AAA服务器31、WLAN AP 7的AAA客户机25和AAA代理服务器27被端到端地执行。EAP分组在AAA客户机25和AAA服务器31h之间被封装在AAA消息中。
余下的步骤可以与针对非漫游用户所描述的那些步骤相同。
通过公共WLAN AP接入,不支持虚拟AP概念
如果公共WLAN AP 7不支持虚拟AP概念,则漫游用户的接入程序类似于漫游用户通过CPN 5接入所述的程序。在这种情况下,AN 13′用于WLAN AP和BRAS 17之间,见图2j。而且,在图2a中所示的VLAN 41.1、41.2、43一直扩展到WLAN AP(即VLAN No.1、VLAN No.2和本地WLAN AP VLAN),VLAN 41.1、41.2、43不包含在AN 13′和WLAN AP 7之间的链路,但是替代地结束在AN 13′中。在WLAN AP 7和AN 13′之间不需要VLAN分离。
通过WLAN AP接入,不支持虚拟AP概念,终端中具有特定软件
如果在终端15′中的客户机软件中存在对操作员工作室选择的特定支持,则该接入程序基本上与所描述的用于使用扩展NAI通过CPN 5接入的情况相同。向终端通知关于可用操作员工作室3.1,3.2的信息可以以相同的方式进行并且可以使用上面所述的多个业务提供网络的方法,其中所述方法分别描述在所引用的公开出版的国际专利申请WO 2006/038844和WO 2006/038843中。
区别在于AAA客户机25位于WLAN AP 7中而不是位于BRAS 17中。由EAP认证程序期间的EAP身份响应引起的AAA请求被路由到BRAS AAA代理服务器27并且WLAN AP的AAA客户机在AAA请求中包括终端15′的MAC地址,例如在RADIUS呼叫台ID属性中,其还重复使用在Diameter协议中,或者卖方特定属性中。在认证程序期间或者之后不久,归属操作员工作室3h的AAA服务器31h提供一个或多个会话密钥(可能作为认证程序的副产品而产生的)给WLAN AP 7,用于IEEE 802.11i的加密保护机制。如上,在成功用户认证之后,BRAS 17例如使用SNMP或者BRAS可以控制AN所使用的某种其他协议来指示AN 13′,来使终端15′的当前MAC地址与所选访问操作员工作室3.1,3.2的业务VLAN41.1,41.2相关联,例如如果操作员工作室No.2被选择作为所访问的操作员工作室的话,则是VLAN No.2。然后,终端可以通过DHCP接着获取IP地址使得能够进行随后的IP通信。
通过公共WLAN AP接入,不支持虚拟AP概念,在终端中不具有特定软件
如果在终端15′中的客户机软件中不存在对操作员工作室选择的支持,则不能使用扩展的NAI。替代地,当BRAS AAA代理服务器27面对非可路由AAA请求时,BRAS AAA代理服务器27可以被安排来立即批准用户认证,非可路由AAA请求即包括目的域(对于该目的域,AAA代理服务器没有路由)的AAA请求。BRAS 17指示AN 13′来使用户终端的MAC地址(其在AAA请求中被接收)与本地WLAN AP VLAN 45关联。如果BRAS 17根本未发送指令给AN,结果当然相同。可选地,AAA代理服务器27可以向终端15′发送具有可显示串的EAP通知请求,该可显示串促使用户启动她/他的浏览器来用于操作员工作室选择。
用户现在已经接入到本地业务网络51和业务入口54。在业务入口上(如果运行在用户终端15′中的浏览器试图接入外部网页,即从位于本地业务网络之外的服务器,则该浏览器被重新指向该业务入口),用户可以发现关于可用操作员工作室的信息。通过点击其中之一的符号,用户选择操作员工作室或者本地业务。终端的当前MAC地址于是与选择关联,并且MAC地址和选择的指示两者都存储在BRAS 17中。于是,除非用户已经选择接入本地业务,则终端15′被强制放弃它的IP地址,如对于漫游用户通过CPN 5接入的情况所描述的。
如果AAA协议是Diameter,则下一步骤是AAA代理服务器27请求WLAN AP 7通过重新认证请求(Re-Auth-Request)AAA消息来重新认证终端15′。WLAN AP 7的AAA客户机25通过发送EAP身份请求分组向终端发起新的EAP认证程序,并且接收返回的EAP身份响应。AAA代理服务器通过终端MAC地址匹配随后的AAA请求与所存储所访问的操作员工作室选择,WLAN AP 7中的AAA客户机25在AAA请求中包括该终端MAC地址,例如在RADIUS呼叫台身份(Calling-Station-Id)属性中,其还重新使用于Diameter协议中,或者卖方特定属性中。这次携带EAP程序的AAA消息在WLAN AP 7和用户的归属操作员工作室3h的AAA服务器31之间通过所选访问操作员工作室3.1,3.2的AAA服务器31被路由。重新认证触发IEEE 802.11i机制被启动并且随后WLAN AP 7中的AAA客户机25发起新的计费子会话,其清楚地区分在重新认证之前的任何计费数据与重新认证程序之后的计费数据。如果AAA协议是RADIUS,则可能使用同一方法。最差的情况是终端15′将必须重新连接并且本身发起新的EAP程序。
这个程序使得WLAN AP 7不受影响并且可以因此使用可用的现存的AP。
如果在WLAN AP和BRAS 17之间不使用AN 13′,则BRAS必须发送它的指令给WLANAP,并且WLAN AP必须包括单元,用于接收这样的指令并且用于根据所接收的指令使用户终端15′的MAC地址与若干VLAN 41.1,41.2,43之一关联,这些VLAN在这种情况下一直扩展到WLAN AP。
通过IPsec隧道接入
基于IPsec隧道的层3解决方案,也可以被漫游用户使用来从终端15′通过WLAN AP7接入宽带接入网29,考虑这样的事实,即用户的认证必须总是在用户和用户的归属操作员工作室3h的AAA服务器31h之间被执行,而不是在用户和所希望的操作员工作室3.1,3.2的AAA服务器之间被执行,后一AAA服务器实际上用作认证程序中的中继代理。
基于IPsec隧道的层3解决方案的变型与用户接入他的归属宽带接入网的情况相同。
通过IPsec隧道接入到BRAS中的公共隧道端点
上面所述的用于用户使用用于所有连接的操作员工作室3.1,3.2的单个公共隧道端点通过他的归属宽带接入网接入操作员工作室的程序必须被修改如下。
到BRAS 17中的本地VRF 49或者到专用隧道端点设备145的IPsec隧道,使用与对于用户接入他的归属宽带接入网所描述的相同方式来建立。然而,因为隧道端点本身和由终端15′提供的常规NAI都不指示AAA请求和随后的用户数据将要被路由到哪个所连接的操作员工作室3.1,3.2,所以需要对程序的扩展。在EAP程序期间,用户替代地可以通过具有上述格式的扩展NAI指示所选访问操作员工作室,上述格式是:″home-op-shop/namevisited-op-shop″或者″home-op-shop!namevisited-op-shop″。
如果用户不提供扩展NAI,则基于EAP的操作员工作室信息广告可以用于让用户或者终端15′选择可用操作员工作室3.1,3.2之一,并且在随后传送的扩展NAI中包括其域,如在所引用的标准文本Farid Adrangi(Ed.)的互联网草案<draft-adrangi-eap-network-Discovery-and-Selection-01.txt>″Mediating Network Discovery and Selection(仲裁网络发现和选择)″中所描述的。
在转发AAA请求之前,AAA代理服务器27可以通过删除“visited-op-shop”域、移动“home-op-shop”域到符号的右侧并且删除在“name”部分之前的“/”或者“!”符号,将扩展NAI变成常规的NAI,具有格式“namehome-op-shop”。否则所选访问操作员工作室3.1,3.2中的AAA服务器31将扩展NAI变成常规的NAI。
上述方法(其在所引用的国际专利申请WO 2006/038844中有所描述并且依靠中心Diameter中继代理的支持)也适用于这种情况。
通过IPsec隧道接入到BRAS中的操作员工作室特定端点
使用针对每个所连接的操作员工作室3.1,3.2的专用隧道端点的程序几乎可以完全重新使用归属宽带接入网情况的程序。所选访问操作员工作室3.1,3.2之一的AAA服务器31的任务是基于终端15提供的NAI的域部分来路由AAA请求到用户的归属AAA服务器31h,NAI指示终端的用户的归属操作员工作室的域。
通过IPsec隧道接入到宽带接入服务器
使用到所选访问操作员工作室3.1,3.2的BAS 31的IPsec隧道的程序几乎可以完全重新使用归属宽带接入网情况的程序。所选访问操作员工作室3.1,3.2的AAA服务器31的任务是基于NAI的域部分来路由AAA请求到用户的归属AAA服务器31h,该NAI由终端提供并且指示用户的归属操作员工作室的域。
因此,这里所描述的方法和程序允许接入宽带接入网29的用户/终端15,15′从连接到宽带接入网的多个操作员工作室3.1,3.2选择操作员工作室。这对于接入他们的归属宽带接入网的用户以及对于在外部宽带接入网中漫游的用户来说是可能的。
层2和层3方法两者都被提供以便应付多种接入情形,包括通过由宽带接入网提供的专用RG端口、非专用RG端口、归属WLAN AP、归属NAT、以及公共WLAN AP接入宽带接入网29。
因此,这里所描述的方法和程序以及这里所描述的宽带接入网中的相应修改部件是多操作员(工作室)移动宽带接入网环境的一部分。
在具有多个操作员工作室的宽带接入网上下文中,已经描述了支持在归属和外部宽带接入网中的用户的方法和相关设备/节点。识别两个主要区域:
-用于使用户/终端与所选操作员工作室的业务VLAN关联的层2方法。供在外部宽带接入网中漫游的用户使用的机制可能特别重要。
-使用IPsec隧道(其在BRAS中被内部地处理)的层3方法。DHCP可以用于向终端通知可用潜在的隧道端点。
应当理解,在这里以及在其权利要求中,上面所述的设备的任务和部件可以以功能上彼此相似或者相同的各种方式被组织起来。如上所述的将方法步骤特定划分和分配成不同部分用于解释说明目的,以便清楚理解本发明的描述以及权利要求。
尽管这里已经解释说明和描述了本发明的特定实施例,但是应当认识到在不背离本发明的宗旨和范围的前提下,本领域的技术人员将容易想到许多其他实施例以及许多附加好处、修改和变化。因此,本发明在它的更宽方面中将不限于这里所示的和所描述的特定细节、典型设备和示意性示例。因此,可以做出各种修改而不背离如所附权利要求和它们的等价物所限定的总的发明思想的宗旨或者范围。因此应当理解的是,所附权利要求用于覆盖落入本发明的真实宗旨和范围内的所有这样的修改和变化。在不背离本发明的宗旨和范围的前提下,可以想到各种其他实施例。

Claims (46)

1.一种在以太网类型网络中连接在用户设备的接入点和宽带远程接入服务器之间的接入节点,其中所述用户设备的接入点向可能的用户设备重复发出代表标识该接入点的服务集合标识符的信号,其中所述宽带远程接入服务器用于提供对多个业务提供网络的宽带接入,该接入节点包括:
- 处理单元,用于处理虚拟局域网,该虚拟局域网包括用于存储在第一虚拟局域网和第二虚拟局域网中传送的以太网帧的标识的存储器,
--所述第一虚拟局域网包括所述接入节点和所述宽带远程接入服务器的本地虚拟路由器功能单元,
--所述第二虚拟局域网的每个包括所述接入节点和用于所述多个业务提供网络的每一个的所述宽带远程接入服务器的虚拟路由器功能单元之一,每个所述虚拟路由器功能单元用于直接传送来自和去往一个相应的所述业务提供网络的宽带接入服务器的以太网帧,
-控制单元,被连接到所述处理单元,
--用于命令所述处理单元从已经连接自己到所述接入点的新用户设备传送帧到所述第一虚拟局域网,
--用于接收来自所述宽带远程接入服务器的关于路由帧的信息,
--用于命令所述处理单元来传送来自连接到所述接入点的用户设备的帧,并且来自所述用户设备的帧被传送到第一虚拟局域网,以便被改为传送到由从所述宽带远程接入服务器接收的信息所指定的所述第二虚拟局域网之一,所述帧因此被传送到相应的所述业务提供网络的所述宽带接入服务器。
2.根据权利要求1所述的接入节点,特征在于所述用户设备的接入点是家用网关或者交换机或者无线局域网接入点,所述多个业务提供网络是操作员工作室。
3.根据权利要求1所述的接入节点,特征在于所述接入节点用于接收信息,该信息包括连接到所述接入点的用户设备的MAC地址,并且用于命令所述处理单元将来自这个地址的帧传送到所述第二虚拟局域网之一。
4.根据权利要求3所述的接入节点,特征在于所述MAC地址是虚拟MAC地址,并且所述接入点包括转换单元,用于转换成所述用户设备的MAC地址。
5.一种用于用户设备通过宽带接入网连接到多个业务提供网络之一的方法,包括步骤:
-所述用户设备连接到所述宽带接入网,
-由所述用户设备发送的一个或多个帧由接入节点接收,该接入节点转发该一个或多个帧到本地虚拟局域网,
-该一个或多个帧在所述本地虚拟局域网中由本地虚拟路由器功能单元接收,该本地虚拟路由器功能单元启动针对所述用户设备的识别和认证程序,
-所述用户设备在所述识别和认证程序中发送所选所述多个业务提供网络之一的选择信息,
-在成功识别和认证程序之后,所述接入节点基于所述选择信息被命令来改为将从所述用户设备接收的所述帧转发到专用虚拟局域网之一,所述专用虚拟局域网之一与所选所述多个业务提供网络之一相关联,并且
-在所述专用虚拟局域网之一中接收的来自所述用户设备的所述帧被转发到所选所述多个业务提供网络之一中。
6.根据权利要求5的方法,特征在于在所述用户设备连接到所述宽带接入网的步骤中它连接到所述宽带接入网的接入点,所述宽带接入网的接入点重复发出代表标识所述接入点的服务集合标识符的信号到可能的用户设备。
7.根据权利要求6的方法,特征在于所述宽带接入网的接入点是家用网关或者交换机或者无线局域网接入点。
8.根据权利要求5的方法,特征在于在所述识别和认证程序中,所述用户设备通过发送识别信息来启动,该信息包括所选所述多个业务提供网络之一的所述选择信息。
9.一种用于以太网类型的无线局域网的接入点,该接入点向无线终端重复发出代表标识该接入点的服务集合标识符的信号,该无线终端被连接到宽带远程接入服务器,宽带远程接入服务器用于为所述无线终端提供对多个业务提供网络的宽带接入,该接入点包括:
-RF单元,用于无线地发出代表所述服务集合标识符的信号,所述服务集合标识符对于所述多个业务提供网络的每一个是特定的,并且用于接收来自所述无线终端的对于所述信号的响应,每个所述响应对于所述服务集合标识符中的一个是特定的,
- 接入点处理器,接收来自所述RF单元的响应,当接收响应时响应处理器被安排来启动对于最初发送响应的所述无线终端的认证程序,所述无线终端提供网络接入标识符以及用户的归属业务提供网络,该网络接入标识符标识所述无线终端或者其用户,该接入点处理器包括:
--修改器单元,用于修改所接收的网络接入标识符,来在从无线终端接收的每个所接收的网络接入标识符中包括对于所述无线终端最初对所述服务集合标识符发送响应的所述服务集合标识符是特定的那个业务提供网络的标识。
10.根据权利要求9所述的接入点,特征在于所述接入点处理器包括虚拟接入点单元用于或者关联于所述多个业务提供网络的每一个,所述虚拟接入点单元的每个包括特定修改单元,用于修改所接收的网络接入标识符来包括那个业务提供网络的标识,相应的虚拟接入点单元与那个业务提供网络相关联。
11.一种用于无线终端通过到宽带接入网的接入点的无线连接而连接到多个业务提供网络之一的方法,包括步骤:
-所述无线终端响应由所述接入点向所述无线终端发出的信号,所述信号代表服务集合标识符,所述服务集合标识符标识所述接入点,所述服务集合标识符还对于所述多个业务提供网络的每一个是特定的,所述响应对于所述服务集合标识符之一是特定的,
-所述接入点接收来自所述无线终端的所述响应并且然后启动与所述无线终端的认证程序,所述无线终端在认证程序中提供网络接入标识符,以及用户的归属业务提供网络,该网络接入标识符标识所述无线终端或者其用户,
-所述接入点修改所接收的网络接入标识符,来在所接收的网络接入标识符中包括对于所述无线终端最初针对所述服务集合标识符发送响应的所述服务集合标识符是特定的那个业务提供网络的标识,
-修改后的网络接入标识符用于发现所述业务提供网络的认证单元,所述业务提供网络对于所述服务集合标识符是特定的,所述无线终端最初对其发送响应并且然后在所述无线终端和所述认证单元之间继续进行认证程序,并且
-在成功完成的认证程序之后,允许所述无线终端与所述业务提供网络进行通信。
12.根据权利要求11所述的接入点,特征在于,通过给所述无线终端一个IP地址来进行所述通信。
13.一种宽带远程接入服务器,用于为通过接入节点或者接入点连接到该宽带远程接入服务器的终端提供对多个业务提供网络的宽带接入,所述多个业务提供网络不同于终端的用户的归属业务提供网络,该宽带远程接入服务器包括:
-业务单元,用于存储和提供关于所述多个业务提供网络的信息,
特征在于该宽带远程接入服务器用于:
-首先允许终端通过从该宽带远程接入服务器的地址服务器接收临时地址,以直接的方式、无需任何认证程序地被连接到所述业务单元,用于接收关于所述多个业务提供网络的信息,
-从终端接收关于所选所述多个业务提供网络之一的信息,
-其后,利用该宽带远程接入服务器所包括的本地虚拟路由器功能单元转发从终端接收的关于所选所述多个业务提供网络之一的信息到所述所选业务提供网络之一的认证单元,
-其后,在认证程序中由该认证单元允许信息通过在所述所选所述多个业务提供网络之一和终端之间的所述宽带远程接入服务器被传送,
-其后,接收从所述所选多个业务提供网络之一获得或者通过其获得的关于认证程序成功或者没有成功的信息,并且
-最后,当指示成功时,该宽带远程接入服务器使用所接收的信息,从终端向所述所选多个业务提供网络之一路由数据,并且从所述所选多个业务提供网络之一向终端路由数据。
14.根据权利要求13所述的宽带远程接入服务器,特征在于,所述业务单元是连接在该宽带远程接入服务器的本地网络中的业务入口,所述数据是以太网帧,所述临时地址是IP地址。
15.根据权利要求13所述的宽带远程接入服务器,特征在于
所述本地虚拟路由器功能单元包括在第一虚拟局域网中,第一虚拟局域网也包括接入节点或者接入点,以及
所述本地虚拟路由器功能单元,用于所述多个业务提供网络的每一个并且包括在第二虚拟局域网中,第二虚拟局域网也包括所述接入节点或者接入点,所述虚拟路由器功能单元的每个用于直接传送来自一个相应的业务提供网络的数据和去往一个相应的业务提供网络的数据,
该宽带远程接入服务器被适配,以便从终端向所述所选多个业务提供网络之一路由数据,从所述所选多个业务提供网络之一向终端路由数据,来提供命令给所述接入节点或接入点,指示它来从终端向第二虚拟局域网之一发送数据,其中在第二虚拟局域网之一中存在与所选多个业务提供网络之一相关联的虚拟路由器功能单元。
16.根据权利要求15所述的宽带远程接入服务器,特征在于所述数据是以太网帧。
17.根据权利要求13所述的宽带远程接入服务器,特征在于该宽带远程接入服务器包括:
-本地虚拟路由器功能单元,包括在第一虚拟局域网中,第一虚拟局域网也包括接入节点或者接入点,以及
-认证装置,该认证装置包括认证客户机和认证服务器,
通过所述接入节点或者接入点连接到该宽带远程接入服务器的终端被指向所述本地虚拟路由器功能单元,
-当从以前未连接的终端接收数据时,所述本地虚拟路由器功能单元被安排来通过所述认证装置发起对所述终端的识别程序,并且来转发从终端接收的响应到所述认证装置,
-当从终端接收到所转发的响应时,所述认证装置被安排来比较响应中的信息与所存储的关于所述业务提供网络的信息,并且在比较结果表明所述终端或者所述终端的用户与任何业务提供网络没有连接到所述业务提供网络的协定的情况下,提供业务单元来使得所述业务单元的信息可用于终端。
18.根据权利要求17所述的宽带远程接入服务器,特征在于所述数据是帧,所述认证服务器是认证代理服务器。
19.根据权利要求17所述的宽带远程接入服务器,特征在于在提供业务单元使得它的信息可用于终端中时,所述认证装置被安排来假定终端被给定一临时的地址,使得能够连接到业务单元。
20.根据权利要求19所述的宽带远程接入服务器,特征在于所述给定地址是IP地址,所述地址服务器是DHCP服务器。
21.根据权利要求19所述的宽带远程接入服务器,特征在于在从终端接收到关于所选业务提供网络之一的信息之后,宽带远程接入服务器被设计成在该宽带远程接入服务器中包括逻辑功能单元,来提供取消所述地址并且发起与终端的认证程序。
22.一种宽带远程接入服务器,用于为通过接入节点或者接入点连接到该宽带远程接入服务器的终端提供对多个业务提供网络之一的宽带接入,该宽带远程接入服务器包括:
-本地虚拟路由器功能单元,用作本地虚拟局域网的一部分,在本地虚拟局域网中还连接有接入节点或者接入点,
-专用本地虚拟路由器功能单元,每个专用本地虚拟路由器功能单元专用于特定或者自己的多个业务提供网络之一,并且用作自己的虚拟局域网的一部分,该自己的虚拟局域网被特别地安排用于专用本地虚拟路由器功能单元并且该自己的虚拟局域网中还连接有接入节点或者接入点,
特征在于该宽带远程接入服务器用于:
-当终端在接入节点或者接入点上连接到该宽带远程接入服务器时,接入节点或者接入点已经被设置来从终端传送帧到与专用本地虚拟路由器功能单元相关联的所述虚拟局域网,并且当终端请求在终端和在规定的端点地址上的单元之间建立在网络级上的安全隧道时,转发来自于终端的由连接在所述虚拟局域网之一中的相应虚拟路由器功能单元接收的分组到该宽带远程接入服务器中的单元,基于所规定的端点地址选择所述本地虚拟路由器功能单元和所述专用本地虚拟路由器功能单元这两者之一或者被特别安排用作端点服务器的单元,
-其后所选择的单元被安排用来
--启动与终端的识别程序,该终端在其中提供关于所选多个业务提供网络之一的信息,
--检查规定的端点地址和/或关于所述所选多个业务提供网络之一的信息,
--然后提供启动在终端和多个业务提供网络之一的认证服务器之间的认证程序,基于检查结果确定这个业务提供网络,
--在成功认证程序已经被执行之后,建立终端和所述单元之间的安全隧道,并且
--最后,关联所建立的安全隧道的隧道接口与所述多个业务提供网络之一,使得来自终端的分组在隧道接口上被转发到所述多个业务提供网络之一以及从所述多个业务提供网络之一到终端的分组被转发到隧道接口。
23.根据权利要求22所述的宽带远程接入服务器,特征在于所有所述本地虚拟路由器功能单元和所述专用本地虚拟路由器功能单元的每个包括路由单元和用于存储路由表的存储器,该路由表包括特定条目,用于路由到用作隧道端点的单元,该路由单元用于检查端点地址并且由此确定所述用作隧道端点的单元。
24.根据权利要求22所述的宽带远程接入服务器,特征在于所述的宽带远程接入服务器包括地址服务器,并且在终端到接入节点或者接入点并且由此到所述虚拟局域网之一的连接程序中,地址服务器被安排来给终端第一地址用于识别和认证程序,并且同时或者直接地与所述终端连接,给终端关于可能端点地址的信息。
25.根据权利要求24所述的宽带远程接入服务器,特征在于该地址服务器是DHCP服务器,该关于可能端点地址的信息是DHCP选项。
26.根据权利要求25所述的宽带远程接入服务器,特征在于该DHCP选项是一个或多个IP地址、一个或多个FQDN。
27.根据权利要求24所述的宽带远程接入服务器,特征在于它包括转换单元,用于转换来自终端的关于所选端点地址的信息成为指向虚拟路由器功能单元之一的地址。
28.根据权利要求22所述的宽带远程接入服务器,特征在于它包括地址服务器和业务单元,该业务单元包括或者连接到其中存储端点地址的存储器,并且特征在于在终端到接入节点或者接入点并且由此到所述虚拟局域网之一的连接程序中,地址服务器被安排来给终端第一地址以用于接入业务单元来获取关于可用端点地址的信息。
29.根据权利要求22所述的宽带远程接入服务器,特征在于它被安排成由安排在其中的适当地址服务器在建立安全隧道的步骤之后给终端第二地址,该第二地址用于在安全隧道中发送的帧。
30.根据权利要求24或者28所述的宽带远程接入服务器,特征在于地址服务器被安排来提供端点地址和/或者关于端点地址的信息,使得端点地址和该信息分别指向本地虚拟路由器功能单元。
31.根据权利要求30所述的宽带远程接入服务器,特征在于地址服务器被安排来提供端点地址和/或关于端点地址的信息,使得端点地址和该信息也分别指示多个业务提供网络之一。
32.根据权利要求24所述的宽带远程接入服务器,特征在于所述地址服务器被安排来提供端点地址,所述端点地址的每个指向与多个业务提供网络关联的虚拟路由器功能单元之一。
33.根据权利要求28所述的宽带远程接入服务器,特征在于该业务单元是连接在宽带远程接入服务器中的本地业务网络中的业务入口。
34.一种宽带远程接入服务器,用于为通过接入节点或者接入点连接到该宽带远程接入服务器的终端提供对多个业务提供网络之一的宽带接入,该宽带远程接入服务器包括:
-本地虚拟路由器功能单元,用作本地虚拟局域网的一部分,在本地虚拟局域网中还连接有接入节点或者接入点,
-专用虚拟路由器功能单元,每个专用虚拟路由器功能单元专用于特定或者自己的多个业务提供网络之一,并且用作自己的虚拟局域网的一部分,该虚拟局域网被特别地安排用于专用虚拟路由器功能单元并且在该虚拟局域网中还连接有接入节点或者接入点,特征在于:
-当终端在接入节点或者接入点上连接到该宽带远程接入服务器时,接入节点或者接入点已经被设置来从终端传送帧到与专用虚拟路由器功能单元相关联的所述虚拟局域网之一,并且当终端请求在终端和在规定的端点地址上的端点单元之间建立在网络级上的安全隧道时,该宽带远程接入服务器用于转发来自于终端的由连接在所述虚拟局域网之一中的虚拟路由器功能单元接收的分组到专用虚拟路由器功能单元之一,基于所规定的端点地址确定所述专用虚拟路由器功能单元之一,
-所述专用虚拟路由器功能单元之一被安排来转发所述分组到与所述专用虚拟路由器功能单元之一相关联的业务提供网络,并且
-该宽带远程接入服务器被安排然后在识别和认证程序中以及用于建立安全隧道的程序中在终端和业务提供网络之间传送分组。
35.根据权利要求34所述的宽带远程接入服务器,特征在于所述虚拟路由器功能单元接收的分组包括请求分组。
36.根据权利要求34所述的宽带远程接入服务器,特征在于所述专用虚拟路由器功能单元之一被安排来进一步转发所述虚拟路由器功能单元接收的分组到与所述专用虚拟路由器功能单元之一相关联的业务提供网络的宽带接入服务器。
37.根据权利要求34所述的宽带远程接入服务器,特征在于虚拟路由器功能单元的每个包括路由单元以及存储路由表的存储器,该路由表包括用于路由到专用虚拟路由器功能单元的特定条目,该路由单元用于检查所规定的端点地址并且由此确定所述专用虚拟路由器功能单元之一。
38.根据权利要求34所述的宽带远程接入服务器,特征在于它包括地址服务器,并且在终端到接入节点或者接入点并且由此到所述虚拟局域网之一的连接程序中,地址服务器被安排来给终端第一地址用于识别和认证程序,并且同时或者直接地与所述终端连接,给终端关于可能端点地址的信息。
39.根据权利要求38所述的宽带远程接入服务器,特征在于该地址服务器是DHCP服务器,该关于可能端点地址的信息是DHCP选项。
40.根据权利要求39所述的宽带远程接入服务器,特征在于该DHCP选项是一个或多个IP地址、一个或多个FQDN。
41.根据权利要求34所述的宽带远程接入服务器,特征在于它包括地址服务器,以及业务单元,该业务单元包括或者连接到其中存储端点地址的存储器,并且特征在于在终端到接入节点或者接入点并且由此到所述虚拟局域网之一的连接程序中,地址服务器被安排来给终端第一地址用于接入该业务单元。
42.根据权利要求41所述的宽带远程接入服务器,特征在于,所述地址服务器被安排来给终端第一地址用于接入该业务单元以便获取关于可能的端点地址的信息。
43.根据权利要求41所述的宽带远程接入服务器,特征在于,该地址服务器是DHCP服务器,该业务单元是连接到或者集成在该宽带远程接入服务器中的本地业务网络中的业务入口。
44.根据权利要求34所述的宽带远程接入服务器,特征在于每个专用虚拟路由器功能单元包括第一单独路由表,用于路由从专用虚拟路由器功能单元专用于的多个业务提供网络之一到达的分组。
45.根据权利要求44所述的宽带远程接入服务器,特征在于每个专用虚拟路由器功能单元包括至少第二单独路由表,用于路由在不同于从专用虚拟路由器功能单元专用于的多个业务提供网络之一到达的分组的到达接口的接口处到达的分组。
46.根据权利要求34所述的宽带远程接入服务器,特征在于每个专用虚拟路由器功能单元包括用于选择路由的单元或要被用于转发的分组的路由表,所述选择基于进入接口,要被转发的所述分组已到达该进入接口。
CN200680021420.1A 2005-04-29 2006-05-02 接入节点、接入点、接入服务器、连接到业务提供网络的方法 Expired - Fee Related CN101199166B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/SE2005/000645 WO2006118497A1 (en) 2005-04-29 2005-04-29 Operator shop selection
SEPCT/SE2005/000645 2005-04-29
PCT/SE2006/000527 WO2006118530A1 (en) 2005-04-29 2006-05-02 Operator shop selection in broadband access

Publications (2)

Publication Number Publication Date
CN101199166A CN101199166A (zh) 2008-06-11
CN101199166B true CN101199166B (zh) 2016-08-31

Family

ID=37308213

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200680021420.1A Expired - Fee Related CN101199166B (zh) 2005-04-29 2006-05-02 接入节点、接入点、接入服务器、连接到业务提供网络的方法

Country Status (5)

Country Link
US (1) US20090129386A1 (zh)
EP (1) EP1878169B1 (zh)
CN (1) CN101199166B (zh)
BR (1) BRPI0608168A2 (zh)
WO (2) WO2006118497A1 (zh)

Families Citing this family (90)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7633909B1 (en) 2002-12-20 2009-12-15 Sprint Spectrum L.P. Method and system for providing multiple connections from a common wireless access point
US9088669B2 (en) * 2005-04-28 2015-07-21 Cisco Technology, Inc. Scalable system and method for DSL subscriber traffic over an Ethernet network
US8194656B2 (en) * 2005-04-28 2012-06-05 Cisco Technology, Inc. Metro ethernet network with scaled broadcast and service instance domains
US8213435B2 (en) * 2005-04-28 2012-07-03 Cisco Technology, Inc. Comprehensive model for VPLS
US8094663B2 (en) * 2005-05-31 2012-01-10 Cisco Technology, Inc. System and method for authentication of SP ethernet aggregation networks
KR100694219B1 (ko) * 2005-08-19 2007-03-14 삼성전자주식회사 무선 단말에서의 액세스 포인트 데이터 전송 모드 감지장치 및 그 방법
US8077732B2 (en) * 2005-11-14 2011-12-13 Cisco Technology, Inc. Techniques for inserting internet protocol services in a broadband access network
US7596615B2 (en) * 2006-02-22 2009-09-29 Microsoft Corporation Multi-server automated redundant service configuration
US8818322B2 (en) 2006-06-09 2014-08-26 Trapeze Networks, Inc. Untethered access point mesh system and method
US8301753B1 (en) 2006-06-27 2012-10-30 Nosadia Pass Nv, Limited Liability Company Endpoint activity logging
US7668954B1 (en) * 2006-06-27 2010-02-23 Stephen Waller Melvin Unique identifier validation
US9596585B2 (en) * 2006-08-04 2017-03-14 Microsoft Technology Licensing, Llc Managing associations in ad hoc networks
US20080077972A1 (en) * 2006-09-21 2008-03-27 Aruba Wireless Networks Configuration-less authentication and redundancy
US9986414B1 (en) 2006-09-29 2018-05-29 Sprint Communications Company L.P. Dynamic CSCF assignment
US7821941B2 (en) * 2006-11-03 2010-10-26 Cisco Technology, Inc. Automatically controlling operation of a BRAS device based on encapsulation information
US8121051B2 (en) * 2007-02-26 2012-02-21 Hewlett-Packard Development Company, L.P. Network resource teaming on a per virtual network basis
US9071666B2 (en) * 2007-04-26 2015-06-30 Alcatel Lucent Edge router and method for dynamic learning of an end device MAC address
CN101304363B (zh) * 2007-05-12 2011-12-07 华为技术有限公司 一种会话连接的管理方法及装置、系统
US8619668B2 (en) * 2007-06-07 2013-12-31 Qualcomm Incorporated Mobility management mode selection in multiple access wireless networks
EP2003860A1 (en) * 2007-06-12 2008-12-17 Alcatel Lucent Configuration of a communication terminal by provisioning of DHCP realm identifier
US8627447B1 (en) * 2007-09-18 2014-01-07 Juniper Networks, Inc. Provisioning layer three access for agentless devices
EP2051473B1 (en) * 2007-10-19 2018-04-25 Deutsche Telekom AG Method and system to trace the ip traffic back to the sender or receiver of user data in public wireless networks
US7855982B2 (en) * 2007-11-19 2010-12-21 Rajesh Ramankutty Providing services to packet flows in a network
US7839800B2 (en) * 2008-01-24 2010-11-23 Cisco Technology, Inc. Multiple I-service registration protocol (MIRP)
US8400990B1 (en) * 2008-04-28 2013-03-19 Dennis Volpano Global service set identifiers
US20110202970A1 (en) * 2008-10-15 2011-08-18 Telefonakttebotaget LM Ericsson (publ) Secure Access In A Communication Network
CN101511131B (zh) * 2009-03-04 2010-09-22 上海华为技术有限公司 一种路由方法及装置及系统
US8599860B2 (en) 2009-05-14 2013-12-03 Futurewei Technologies, Inc. Multiple prefix connections with translated virtual local area network
CN101599904B (zh) * 2009-06-26 2012-06-27 中国电信股份有限公司 一种虚拟拨号安全接入的方法和系统
US8537844B2 (en) * 2009-10-06 2013-09-17 Electronics And Telecommunications Research Institute Ethernet to serial gateway apparatus and method thereof
EP2405678A1 (en) * 2010-03-30 2012-01-11 British Telecommunications public limited company System and method for roaming WLAN authentication
EP2373075A1 (en) 2010-03-30 2011-10-05 British Telecommunications public limited company System and method for WLAN traffic monitoring
CN101860856B (zh) * 2010-04-21 2013-06-05 杭州华三通信技术有限公司 一种无线局域网中提供差异化服务的方法和设备
CN102244689B (zh) * 2010-05-13 2014-01-01 华为技术有限公司 远程ip地址获取方法及设备
US20120051346A1 (en) * 2010-08-24 2012-03-01 Quantenna Communications, Inc. 3-address mode bridging
CN102025798B (zh) * 2010-12-15 2013-12-04 华为技术有限公司 地址分配处理方法、装置和系统
CN102075904B (zh) * 2010-12-24 2015-02-11 杭州华三通信技术有限公司 一种防止漫游用户再次认证的方法和装置
HUE030335T2 (hu) * 2011-01-10 2017-05-29 Deutsche Telekom Ag Eljárás vevõ konfigurálásra kommunikációs hálózat segítségével elosztott szélessávú multicast jelek vételéhez, valamint vevõ és rendszer
US9027101B2 (en) * 2011-03-01 2015-05-05 Google Technology Holdings LLC Providing subscriber consent in an operator exchange
JP5672154B2 (ja) * 2011-05-31 2015-02-18 株式会社バッファロー ネットワークシステム、ゲートウェイ装置、経路決定方法、プログラム、および記憶媒体
CN102869012B (zh) * 2011-07-05 2018-11-06 横河电机株式会社 无线局域网接入点设备和系统以及相关方法
US9148781B2 (en) * 2011-07-28 2015-09-29 Hewlett-Packard Development Company, L.P. Wireless transmission of data packets based on client associations
CN102917356B (zh) * 2011-08-03 2015-08-19 华为技术有限公司 将用户设备接入演进的分组核心网络的方法、设备和系统
DE102011080676A1 (de) * 2011-08-09 2013-02-14 Siemens Aktiengesellschaft Konfiguration eines Kommunikationsnetzwerks
US20140198802A1 (en) * 2011-08-10 2014-07-17 Thomson Licensing Method to selectively add priority tagging to network traffic
US9549317B2 (en) * 2011-10-17 2017-01-17 Mitel Mobility Inc. Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network
US8719344B2 (en) * 2011-12-20 2014-05-06 Cisco Technology, Inc. Flexible address provisioning across subnets and VRFs
CN105392127B (zh) 2011-12-23 2020-12-15 华为技术有限公司 一种无线中继设备的中继方法及无线中继设备
WO2013128242A1 (en) * 2012-03-02 2013-09-06 Pismo Labs Technology Ltd. A method and apparatus for managing identifiers of a multiple wans network device
EP2833582A4 (en) * 2012-03-28 2015-12-02 Nec Corp COMPUTER SYSTEM AND COMMUNICATION PATIENT MODIFIERS
WO2013153233A1 (en) * 2012-04-13 2013-10-17 Anyfi Networks Ab End-to-end security in an ieee 802.11 communication system
US20130283050A1 (en) * 2012-04-23 2013-10-24 Anil Gupta Wireless client authentication and assignment
JP5687239B2 (ja) * 2012-05-15 2015-03-18 株式会社オプティム オペレータ認証機能を備えたオペレータ認証サーバ、オペレータシステム、オペレータ認証方法、及び、プログラム
US10560343B1 (en) 2012-07-06 2020-02-11 Cradlepoint, Inc. People centric management of cloud networks via GUI
US10135677B1 (en) 2012-07-06 2018-11-20 Cradlepoint, Inc. Deployment of network-related features over cloud network
US10601653B2 (en) 2012-07-06 2020-03-24 Cradlepoint, Inc. Implicit traffic engineering
US10110417B1 (en) 2012-07-06 2018-10-23 Cradlepoint, Inc. Private networks overlaid on cloud infrastructure
US10177957B1 (en) 2012-07-06 2019-01-08 Cradlepoint, Inc. Connecting a cloud network to the internet
US10880162B1 (en) * 2012-07-06 2020-12-29 Cradlepoint, Inc. Linking logical broadcast domains
US9992062B1 (en) 2012-07-06 2018-06-05 Cradlepoint, Inc. Implicit traffic engineering
US8817707B2 (en) * 2012-07-20 2014-08-26 Intel Corporation Mechanisms for roaming between 3GPP operators and WLAN service providers
US10142159B2 (en) * 2012-08-14 2018-11-27 Benu Networks, Inc. IP address allocation
CN104137485B (zh) * 2012-10-12 2017-11-17 华为技术有限公司 为终端提供网络信息的方法及通告服务器
WO2014094302A1 (zh) 2012-12-21 2014-06-26 华为技术有限公司 一种多次入网用户的判断方法及装置
CN103067979A (zh) * 2012-12-28 2013-04-24 上海寰创通信科技股份有限公司 一种cpe无线终端的远程管理方法
US20160065575A1 (en) * 2013-04-28 2016-03-03 Zte Corporation Communication Managing Method and Communication System
US10034179B2 (en) 2013-10-30 2018-07-24 Sai C. Manapragada System and method for extending range and coverage of bandwidth intensive wireless data streams
CN104883687B (zh) * 2014-02-28 2019-02-26 华为技术有限公司 无线局域网隧道建立方法、装置及接入网系统
JP2018502385A (ja) 2014-12-08 2018-01-25 アンブラ テクノロジーズ リミテッドUmbra Technologies Ltd. 遠隔ネットワークリージョンからのコンテンツ検索のためのシステム及び方法
EP3243314A4 (en) 2015-01-06 2018-09-05 Umbra Technologies Ltd. System and method for neutral application programming interface
WO2016123293A1 (en) 2015-01-28 2016-08-04 Umbra Technologies Ltd. System and method for a global virtual network
CN107852604B (zh) 2015-04-07 2021-12-03 安博科技有限公司 用于提供全局虚拟网络(gvn)的系统
WO2016198961A2 (en) 2015-06-11 2016-12-15 Umbra Technologies Ltd. System and method for network tapestry multiprotocol integration
ES2931177T3 (es) 2015-12-11 2022-12-27 Umbra Tech Ltd Sistema y método para lanzamiento de información a través de un tapiz de red y granularidad de una marca
US10922286B2 (en) 2016-04-26 2021-02-16 UMBRA Technologies Limited Network Slinghop via tapestry slingshot
WO2018017480A1 (en) * 2016-07-20 2018-01-25 Level 3 Communications, Llc Dynamic service provisioning system and method
CN108206772A (zh) * 2016-12-20 2018-06-26 中兴通讯股份有限公司 一种调度方法、系统及控制器
MX2019010159A (es) * 2017-02-28 2019-10-09 Arris Entpr Llc Deteccion automatica de red de area amplia.
EP3701683B1 (en) * 2017-10-24 2023-09-20 InterDigital CE Patent Holdings Cable modem interface mask based virtual local area network mapping
US11184364B2 (en) * 2018-01-09 2021-11-23 Cisco Technology, Inc. Localized, proximity-based media streaming
US10673737B2 (en) * 2018-04-17 2020-06-02 Cisco Technology, Inc. Multi-VRF universal device internet protocol address for fabric edge devices
US10498583B1 (en) * 2019-03-04 2019-12-03 FullArmor Corporation Active directory bridging of external network resources
SE543952C2 (en) * 2020-03-23 2021-10-05 Telia Co Ab A method and a system for routing data packets in a network
SE2050610A1 (en) * 2020-05-27 2021-09-28 Telia Co Ab Methods and an apparatus for routing data packets in a network topology
TWI809277B (zh) * 2020-05-29 2023-07-21 台眾電腦股份有限公司 IPv6網點管理方法及設備
CN113746944B (zh) * 2020-05-29 2024-05-14 台众计算机股份有限公司 IPv6网点管理方法及设备
CN112511400B (zh) * 2020-11-17 2022-07-01 新华三技术有限公司 报文处理方法及装置
CN112637049A (zh) * 2020-12-16 2021-04-09 广州索答信息科技有限公司 数据抓取系统、方法
US12103685B2 (en) * 2021-03-10 2024-10-01 Gogo Business Aviation Llc Methods and systems to provide service levels for aircraft in-flight connectivity communication systems based upon SSIDs
CN113285922B (zh) * 2021-04-22 2022-04-01 新华三信息安全技术有限公司 一种表项处理方法及装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1222548A4 (en) * 1999-08-31 2009-04-22 Anxebusiness Corp SYSTEM AND METHOD FOR INTERCONNECTING MULTIPLE VIRTUAL PRIVATE NETWORKS
WO2001041392A2 (en) * 1999-11-18 2001-06-07 Singapore Telecommunications Limited Virtual private network selection
JP4236398B2 (ja) * 2001-08-15 2009-03-11 富士通株式会社 通信方法、通信システム及び通信接続プログラム
EP1318628B1 (en) * 2001-12-10 2005-01-12 Alcatel Method and apparatus of directing multicast traffic in an Ethernet MAN
EP1331766A1 (en) * 2001-12-20 2003-07-30 Alcatel A telecommunications system employing virtual service network architecture
US7532604B2 (en) * 2002-05-08 2009-05-12 Siemens Canada Limited Local area network with wireless client freedom of movement
US7835317B2 (en) * 2002-10-08 2010-11-16 Nokia Corporation Network selection in a WLAN
US20040165595A1 (en) * 2003-02-25 2004-08-26 At&T Corp. Discovery and integrity testing method in an ethernet domain
US8027344B2 (en) * 2003-12-05 2011-09-27 Broadcom Corporation Transmission of data packets of different priority levels using pre-emption
US20050190788A1 (en) * 2004-02-27 2005-09-01 Wong Yu-Man M. System and method for VLAN multiplexing

Also Published As

Publication number Publication date
WO2006118497A1 (en) 2006-11-09
US20090129386A1 (en) 2009-05-21
CN101199166A (zh) 2008-06-11
EP1878169A4 (en) 2014-07-16
WO2006118530A1 (en) 2006-11-09
EP1878169B1 (en) 2018-07-11
EP1878169A1 (en) 2008-01-16
BRPI0608168A2 (pt) 2010-11-09

Similar Documents

Publication Publication Date Title
CN101199166B (zh) 接入节点、接入点、接入服务器、连接到业务提供网络的方法
US8984141B2 (en) Server for routing connection to client device
US8458359B2 (en) System for the internet connections, and server for routing connection to a client machine
AU2022205146A1 (en) Interactions between a broadband network gateway and a fifth generation core
US7502841B2 (en) Server, system and method for providing access to a public network through an internal network of a multi-system operator
CN100594476C (zh) 用于实现基于端口的网络访问控制的方法和装置
US7653074B2 (en) Method and apparatus for virtual private networks
US8484715B2 (en) Method and system for network access and network connection device
JP3419391B2 (ja) 認証拒否端末に対し特定条件でアクセスを許容するlan
CN101099332A (zh) 用于无线接入网关的动态防火墙能力
US20240214352A1 (en) Securing access to network devices utilizing authentication and dynamically generated temporary firewall rules
KR20150079236A (ko) 가상 사설망 게이트웨이 및 그의 보안 통신 방법
CN101902482B (zh) 基于IPv6自动配置实现终端安全准入控制的方法和系统
JP2001169341A (ja) 移動通信サービス提供システム、移動通信サービス提供方法、認証装置、およびホームエージェント装置
CN110493366A (zh) 一种接入点加入网络管理的方法及装置
JP3858884B2 (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
EP3016423A1 (en) Network safety monitoring method and system
JP4827868B2 (ja) ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法
Cisco MPLS VPN ID
KR100818977B1 (ko) 클라이언트 기기에 대한 접속을 라우팅 하기 위한서버
CA2408631C (en) Server and method for providing secure access to a group of users
Hossain Internship Report on Infolink Networking and Solution
JP2004304532A (ja) 公開用管理ネットワーク

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20160831

Termination date: 20190502