WO2015127852A1

WO2015127852A1 - 无线局域网隧道建立方法、装置及接入网系统

Info

Publication number: WO2015127852A1
Application number: PCT/CN2015/072497
Authority: WO
Inventors: 李晋; 夏晋伟
Original assignee: 华为技术有限公司
Priority date: 2014-02-28
Filing date: 2015-02-09
Publication date: 2015-09-03
Also published as: EP3094043B1; EP3787227B1; EP3094043A4; CN104883687A; EP3094043A1; US10355878B2; CN104883687B; US20160373273A1; EP3787227A1

Abstract

本发明提供一种无线局域网隧道建立方法、装置及接入网系统。通过AC向AP发送第一配置消息，其中，第一配置消息包含第一隧道建立配置参数，其中，第一隧道建立配置参数包含至少一个BRAS的IP地址与至少一个SSID的绑定信息，以使AP根据第一隧道建立配置参数与BRAS建立数据隧道，同时AC与AP建立控制隧道，从而实现了将数据隧道与控制隧道分离，降低了AC不必要的开销。

Description

无线局域网隧道建立方法、装置及接入网系统

本申请要求于2014年2月28日提交中国专利局、申请号为CN 201410073210.3、发明名称为“无线局域网隧道建立方法、装置及接入网系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信技术，尤其涉及一种无线局域网隧道建立方法、装置及接入网系统。

背景技术

随着数据业务需求的迅速增长，且由于2G/3G(第二代/第三代)无线网络对数据承载的能力有限，通过无线局域网(Wireless Local Area Network，简称：WLAN)分流数据业务已成为运营商首选的解决方案。

基于WLAN技术的网络结构中通常包括站点(STAtion，简称：STA)、接入点(Access Point，简称：AP)、接入控制器(Access Controller，简称：AC)等设备。其中，AP的作用是将STA与有线网络连接起来，AC通过无线接入点控制和配置(Control And Provisioning of Wireless Access Point，简称CAPWAP)协议实现对AP的管理。通常，AP和AC间建立起CAPWAP隧道，作为AP和AC之间控制和数据报文的转发通道。

但是，采用现有技术，当AC旁挂于宽带接入服务器(Broadband Remote Access Server，简称：BRAS)时，由于用户数据都需要经过AC进行转发，因此，增大了AC的开销，并且在现有的AC组网方式下，AC与BRAS间需要配置大量的场点VLAN(Virtual Local Area Network，虚拟局域网)来获取不同AP与不同BRAS之间的绑定关系，因此，采用现有技术大大增加了AC配置、管理和维护的工作量和成本。

发明内容

本发明提供一种无线局域网隧道建立方法、装置及接入网系统，用于降低控制器额外开销。

本发明的第一个方面是提供一种无线局域网隧道建立方法，包括：

接入控制器向接入点设备发送第一配置消息，所述第一配置消息包含第一隧道建立配置参数，其中，所述第一隧道建立配置参数包含至少一个宽带接入服务器的IP地址与至少一个服务集标识的绑定信息，以使所述接入点设备根据所述第一隧道建立配置参数与至少一个所述宽带接入服务器建立数据隧道；

所述接入控制器与至少一个所述接入点设备建立控制隧道。

结合第一个方面，在第一种可能的实现方式中，还包括：

所述接入控制器向所述宽带接入服务器或者认证授权记账设备发送第二配置消息，其中所述第二配置消息包含所述第二隧道建立配置参数，其中，所述第二隧道建立配置参数包含至少一个所述接入点设备的IP地址与至少一个所述服务集标识的绑定信息。

本发明的第二个方面是提供一种接入控制器，包括：

发送模块，用于向接入点设备发送第一配置消息，所述第一配置消息包含第一隧道建立配置参数，其中，所述第一隧道建立配置参数包含至少一个宽带接入服务器的IP地址与至少一个服务集标识的绑定信息，以使所述接入点设备根据所述第一隧道建立配置参数与至少一个所述宽带接入服务器建立数据隧道；

控制隧道建立模块，用于与至少一个所述接入点设备建立控制隧道。

结合第二个方面，在第一种可能的实现方式中，所述发送模块，还用于向所述宽带接入服务器或者认证授权记账设备发送第二配置消息，所述第二配置消息包含第二隧道建立配置参数，其中，所述第二隧道建立配置参数包含至少一个所述接入点设备的IP地址与至少一个所述服务集标识的绑定信息。

本发明的第三个方面是提供一种接入点设备，包括：

接收模块，用于接收接入控制器发送的第一配置消息，所述第一配置消息包含第一隧道建立配置参数，其中，所述第一隧道建立配置参数包含至少一个宽带接入服务器的IP地址与至少一个服务集标识的绑定信息；

控制隧道建立模块，用于与所述接入控制器建立控制隧道；

数据隧道建立模块，用于根据所述第一隧道建立配置参数，与至少一个所述宽带接入服务器建立数据隧道。

结合第三个方面，在第一种可能的实现方式中，还包括：

发送模块，用于根据所述第一隧道建立配置参数向至少一个所述宽带接入服务器发送建立数据隧道请求。

结合第三个方面的第一种可能的实现方式，在第二种可能的实现方式中，所述接收模块，还用于接收至少一个所述宽带接入服务器发送的建立数据隧道响应消息，若所述接入点设备的安全性通过至少一个所述宽带接入服务器验证，则所述建立数据隧道响应消息包含验证通过指示信息。

结合第三个方面或第三个方面上述任意一种可能的实现方式，在第三种可能的实现方式中，所述第一隧道建立配置参数还包含至少一个所述服务集标识与至少一个虚拟区域网标识的绑定信息。

结合第三个方面第三种可能的实现方式，在第四种可能的实现方式中，还包括：

标识添加模块，用于若所述接入点设备存在至少一个所述服务集标识与至少一个所述虚拟区域网标识的绑定信息，则根据用户选择的所述服务集标识，以及至少一个所述服务集标识与至少一个所述虚拟区域网标识的绑定信息，为用户数据添加相应的所述虚拟区域网标识；

所述发送模块，还用于根据至少一个宽带接入服务器的IP地址与至少一个服务集标识的绑定信息，将所述用户数据通过所述接入点设备与所述宽带接入服务器的所述数据隧道发送对应的所述宽带接入服务器。

本发明的第四个方面是提供一种宽带接入服务器，包括：

获取模块，用于获取第二隧道建立配置参数，其中，所述第二隧道建立配置参数包含至少一个所述接入点设备的IP地址与至少一个所述服务集标识的绑定信息；

数据隧道建立模块，用于根据所述第二隧道建立配置参数与至少一个所述接入点设备建立数据隧道。

结合第四个方面，在第一种可能的实现方式中，所述获取模块，具体用于接收接入控制器发送的第二配置消息，所述第二配置消息包含第二隧道建立配置参数；或者，

所述获取模块，具体用于从认证授权记账设备获取所述第二隧道建立配置参数。

结合第四个方面或第四个方面的第一种可能的实现方式，在第二种可能的实现方式中，还包括：接收模块，用于接收至少一个所述接入点设备发送的建立数据隧道请求。

结合第四个方面的第二种可能的实现方式，在第三种可能的实现方式中，还包括：验证模块，用于根据所述第二隧道建立配置参数对至少一个所述接入点设备的合法性进行验证；

发送模块，用于向至少一个所述接入点设备发送建立数据隧道响应消息，若至少一个所述接入点设备通过合法性验证，则所述建立数据隧道响应消息包含验证通过指示信息；

所述数据隧道建立模块，具体用于与通过合法性验证的至少一个所述接入点设备建立数据隧道。

本发明的第五个方面是提供一种接入网系统，包括：至少一个上述第二个方面或第二个方面的任意一种可行的实现中所述的的接入控制器、至少一个上述第三个方面或第三个方面的任意一种可行的实现中所述的接入点设备和至少一个上述第四个方面或第四个方面的任意一种可行的实现中所述的宽带接入服务器。

本发明实施例提供的无线局域网隧道建立方法、装置及接入网系统，通过AC向AP发送第一配置消息，其中，第一配置消息包含第一隧道建立配置参数，其中，第一隧道建立配置参数包含至少一个BRAS的IP地址与至少一个SSID的绑定信息。从而使得BRAS与AP建立数据隧道，AC与AP建立控制隧道，从而实现了将数据隧道与控制隧道分离，降低了AC不必要的开销。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术提供的一种接入网部署场景示意图；

图2为本发明实施例提供的一种无线局域网隧道建立方法的流程示意图；

图3为本发明实施例提供的另一种无线局域网隧道建立方法的流程示意图；

图4为本发明实施例提供的另一种无线局域网隧道建立方法的流程示意图；

图5为本发明实施例提供的另一种无线局域网隧道建立方法的流程示意图；

图6为本发明实施例提供的一种AC的结构示意图；

图7为本发明实施例提供的一种AP的结构示意图；

图8为本发明实施例提供的一种AP的结构示意图；

图9为本发明实施例提供的一种BRAS的结构示意图；

图10为本发明实施例提供的另一种BRAS的结构示意图；

图11为本实施例提供的一种接入网系统的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为现有技术提供的一种接入网部署场景示意图，如图1所示，该图1中，一个接入点设备(Access Point，简称：AP)提供多个服务集标识(Service Set Identifier，简称SSID)，每个SSID对应一个虚拟接入点设备(Virtual Access Point，简称：VAP)，归属于不同的运营商。VAP映射到不同的虚拟区域网 (Virtual Local Area Network，简称：VLAN)，即每个运营商的用户数据可基于VLAN来区分。不同SSID的数据映射到不同的VLAN，通过共用的接入控制器(Access Controller，简称：AC)连到不同的运营商。各运营商部署认证授权记账(Authentication Accounting Authorization，简称：AAA)设备和入口设备(Portal)设备，AC根据VLAN，将用户数据转发到对应的运营商网络。根据图1可知，现有技术中的AP管理VLAN、AC管理VLAN和业务场点VLAN。AP大规模部署复杂度高(如配置VLAN等)。并且，由于制隧道和数据隧道没有分离，所有用户数据都必须经由AC转发，在图1的部署场景中，导致用户流量绕行。由于在该运营模式下，各运营商各自认证计费，AC不需要感知流量；用户流量的绕行大大增加了AC的开销。

为了解决上述现有技术产生的问题，本发明下述各个实施例提供一种无线局域网隧道建立方法、装置及接入网系统，从而将控制隧道与数据隧道分离，降低AC不必要的开销，同时简化AP部署的复杂度。

图2为本发明实施例提供的一种无线局域网隧道建立方法的流程示意图，该方法的执行主体为接入控制器(Access Controller，简称AC)，参照图2，该方法包括如下步骤：

步骤100、AC向接入点设备(Access Point，简称：AP)发送第一配置消息。

为了能够将数据隧道与控制隧道分离，需要在AP与宽带接入服务器(Broadband Remote Access Server，简称：BRAS)建立数据隧道，因此，需要将BRAS与SSID的绑定关系告知AP，从而使得AP根据该绑定关系选择相应的BRAS进行数据隧道的建立，具体的，第一配置消息包含第一隧道建立配置参数，其中，第一隧道建立配置参数包含至少一个BRAS的IP地址与至少一个SSID的绑定信息。该绑定信息即表征BRAS与SSID的绑定关系。需要说明的是，通过该第一隧道建立配置参数，当AP发现与自身提供的SSID对应的BRAS时，则AP根据第一隧道建立配置参数与至少一个BRAS器建立数据隧道，需要说明的是，AP根据第一隧道建立配置参数中BRAS的IP地址建立数据隧道，之后对于用户选择的SSID，AP将该SSID与上述BRAS与SSID的绑定信息进行匹配确定相应的数据隧道，将该SSID的数据通过该数据隧道发送给对应的BRAS。

步骤101、AC与至少一个AP建立控制隧道。

需要说明的是，AC与至少一个AP建立的控制隧道与上述数据隧道是分开的。AP和AC间建立起CAPWAP隧道，作为AP和AC之间控制报文的转发通道。

本实施例提供的AC，通过AC向AP发送第一配置消息，其中，第一配置消息包含第一隧道建立配置参数，其中，第一隧道建立配置参数包含至少一个宽带接入服务器的IP地址与至少一个SSID的绑定信息。从而使得BRAS与AP建立数据隧道，同时AC与AP建立控制隧道，从而实现了将数据隧道与控制隧道分离，降低了AC不必要的开销。

优选的，在图1所示各个步骤的基础上，还包括：

步骤102、AP向BRAS或者认证授权记账设备发送第二配置消息。

其中。第二配置消息包含第二隧道建立配置参数，其中，第二隧道建立配置参数包含至少一个AP的IP地址与至少一个SSID的绑定信息。需要说明的是，本步骤102与上述图1中的各个步骤没有直接的前后关系，只要保证，在BRAS与AP建立数据隧道之前，执行步骤102即可。

需要说明的是，AP与认证授权记账设备，AP与BRAS的交互可以通过但不限定于RADIUS消息，即第二配置消息具体可以为RADIUS消息。

基于与步骤100相同的理由，为了使得AP与BRAS建立数据隧道，另一种可行的方式为，在将第一隧道建立配置参数发送给AP的基础上，将AP与SSID的绑定关系告知BRAS，从而使得BRAS根据该绑定关系选择相应的AP进行数据隧道的建立。但是，将AP与SSID的绑定关系告知BRAS的方式有多种，此处仅以直接将AP与SSID的绑定关系告知BRAS，以及经认证授权记账设备告知BRAS为例进行说明，对于其他可行的实现方式，本发明实施例并不做限定。具体的，第二配置消息包含第二隧道建立配置参数，其中，第二隧道建立配置参数包含至少一个AP的IP地址与至少一个SSID的绑定信息，该绑定信息即表征AP与SSID的绑定关系。

需要说明的是，对于AC向BRAS直接发送第二配置消息的实现方式。该方式需要修改大量的现有协议，为了尽量利用现有技术的协议构架，避免不必要的协议修改，降低成本，通过现有协议中AC与认证授权记账设备的交互，以及认证授权记账设备与BRAS的交互即可以避免上述因为修改协议造成的额外成本。即，AC向认证授权记账设备发送包含第二隧道建立配置参数的第二配置消息，当BRAS需要与AP建立数据隧道时，从认证授权记账设备获取相应的第二隧道建立配置参数。

优选的，上述第一隧道建立配置参数还包含至少一个SSID与至少一个虚拟区域网标识(Virtual Local Area Network Identity，简称：VLAN ID)的绑定信息。

优选的，当第一隧道建立配置参数还包含至少一个SSID与至少一个VLAN ID的绑定信息时，则第二隧道建立配置参数还包含至少一个SSID与至少一个VLAN ID的绑定信息。

由于现有技术中，数据隧道与控制隧道未实现分离，所以需要专门设立一个场点VLAN来说明不同AP与不同BRAS的对应关系。否则，BRAS无法从AC处获知数据具体是从哪一个AP发送来的。而本实施例中，由于AC分别告知AP和BRAS至少一个SSID与至少一个VLAN ID的绑定信息，因此，不需要增设场点VLAN来辨识不同的AP，因此，简化了AP部署的复杂度。

需要说明的是，当AP提供了多个SSID时，此时不同SSID对应的VLAN ID是不同的，仅根据上述至少一个AP的IP地址与至少一个SSID的绑定信息，运营商无法根据该绑定信息在BRAS对具体的属于该运营商的相应服务集进行进一步的处理，为了运营商在后续的精细化控制(例如测流控制，计费)，因此，第一隧道建立配置参数还包含至少一个SSID与至少一个VLAN ID的绑定信息，第二隧道建立配置参数还包含至少一个SSID与至少一个VLAN ID的绑定信息，以便后续运营商根据至少一个SSID与至少一个VLAN ID的绑定信息，对不同SSID对应的服务集进行精细化控制，并且，对于精细化控制的具体实现方案此处不做限定。进一步的，对于涉及BARS根据第二隧道建立配置参数对至少一个AP的合法性进行验证，一种可行的实现方式为：当BRAS根据至少一个AP的IP地址与至少一个SSID的绑定信息，以及至少一个SSID与至少一个VLANID的绑定信息，对至少一个AP的合法性进行验证。

优选的，当BRAS支持多种隧道类型(如：L2TP，CAPWAP，GRE， IPSEC等等)时，AP可以选择一个自身也能够支持隧道类型，并告知相应BRAS该隧道类型，具体的，可以通过在第一隧道建立配置参数还包含每个BRAS的IP地址对应的至少一种隧道类型来实现。

类似的，当AP支持多种隧道类型(如：L2TP，CAPWAP，GRE，IPSEC等等)时，BRAS可以选择一个自身也能够支持隧道类型，并告知相应AP该隧道类型，具体的，可以通过在第二隧道建立配置参数还包含每个AP的IP地址对应的至少一种隧道类型。

图3为本发明实施例提供的另一种无线局域网隧道建立方法的流程示意图，图3所示无线局域网隧道建立方法的执行主体为AP，参照图3，该方法包括如下步骤：

步骤200、AP接收AC发送的第一配置消息。

具体点，第一配置消息包含第一隧道建立配置参数，其中，第一隧道建立配置参数包含至少一个BRAS的IP地址与至少一个SSID的绑定信息。

步骤201、AP与AC建立控制隧道。

需要说明的是，AP与AC建立的控制隧道与下述数据隧道是分开的。AP和AC间建立起CAPWAP隧道，作为AP和AC之间控制报文的转发通道。

步骤202、AP根据第一隧道建立配置参数，与至少一个BRAS建立数据隧道。

具体的，AP基于第一隧道建立配置参数中提供的至少一个BRAS的IP地址与至少一个SSID的绑定信息，既可以与该BRAS建立数据隧道。对于当多个BRAS允许该AP与其建立数据隧道时，则与多个BRAS建立数据隧道，需要说明的是，AP根据第一隧道建立配置参数中BRAS的IP地址建立数据隧道，之后对于用户选择的SSID，AP将该SSID与上述BRAS与SSID的绑定信息进行匹配确定相应的数据隧道，将该SSID的数据通过该数据隧道发送给对应的BRAS。

本实施例提供的AP，通过AP接收AC发送的第一配置消息，其中，第一配置消息包含第一隧道建立配置参数，其中，第一隧道建立配置参数包含至少一个宽带接入服务器的IP地址与至少一个SSID的绑定信息，并且，AP与AC建立控制隧道，AP根据第一隧道建立配置参数，与至少一个BRAS建立数据隧道。从而实现了将数据隧道与控制隧道分离，降低了AC不必要的开销。

进一步的，在图3步骤200之后，还可以包括如下步骤：

步骤203、AP根据第一隧道建立配置参数向至少一个BRAS发送建立数据隧道请求。

具体的，当AP获知自身提供的服务集对应的SSID，满足上述第一隧道建立配置参数中至少一个BRAS的IP地址与至少一个SSID的绑定信息时，则向与自身提供的SSID具有绑定关系的BRAS发送该建立数据隧道请求，需要说明的是，若AP提供的多个服务集对应不同的BRAS，并且，上述第一隧道建立配置参数中具有该多个服务集与不同BRAS的绑定关系，则AP可以向该多个BRAS分别发送建立数据隧道请求。

进一步的，在步骤203之后，还可以包括：AP接收至少一个BRAS发送的建立数据隧道响应消息。

具体的，若AP的安全性通过至少一个BRAS验证，则建立数据隧道响应消息包含验证通过指示信息。需要说明的是，当AP向上述至少一个BRAS发送建立数据隧道请求后，接收到请求的BRAS根据其获取到的第二隧道建立配置参数对发送建立数据隧道请求的AP的安全性进行验证，若AP的安全性通过至少一个BRAS验证，则BRAS发送的建立数据隧道响应消息包含验证通过指示信息，用以指示AP可以与该BRAS建立数据隧道。

进一步的，上述图3中步骤202的一种可行的实现方式为：

AP根据验证通过指示信息和第一隧道建立配置参数，与至少一个BRAS建立数据隧道。

具体的，当建立数据隧道响应消息包含验证通过指示信息，说明该BRAS允许AP与该BRAS建立数据隧道，此时，AP基于第一隧道建立配置参数中提供的至少一个BRAS的IP地址与至少一个SSID的绑定信息，既可以与该BRAS建立数据隧道。对于当多个BRAS允许该AP与其建立数据隧道时，则与多个BRAS建立数据隧道。

优选的，第一隧道建立配置参数还包含至少一个SSID与至少一个 VLAN ID的绑定信息。

由于现有技术中，数据隧道与控制隧道未实现分离，所以需要专门设立一个场点VLAN来说明不同AP与不同BRAS的对应关系。否则，BRAS无法从AC处获知数据具体是从哪一个AP发送来的。而本实施例中，由于AC告知AP相关的绑定信息，不需要增设场点VLAN来辨识不同的AP，因此，简化了AP部署的复杂度。

优选的，在图3步骤202之后，还包括：

若AP存在至少一个SSID与至少一个VLAN ID的绑定信息，则AP根据用户选择的SSID，以及至少一个SSID与至少一个VLAN ID的绑定信息，为用户数据添加相应的VLAN ID。并根据至少一个BRAS的IP地址与至少一个SSID的绑定信息，将用户数据通过AP与BRAS的数据隧道发送给对应的BRAS。

优选的，第一隧道建立配置参数还包含每个BRAS的IP地址对应的至少一种隧道类型。

图4为本发明实施例提供的另一种无线局域网隧道建立方法的流程示意图，该方法的执行主体为宽带接入服务器(Broadband Remote Access Server，简称：BRAS)，参照图4，该方法包括如下步骤：

步骤300、BRAS获取第二隧道建立配置参数。

具体的，第二隧道建立配置参数包含至少一个AP的IP地址与至少一个SSID的绑定信息。

步骤301、BRAS根据二隧道建立配置参数与至少一个AP建立数据隧道。

本实施例提供的BRAS，通过BRAS获取第二隧道建立配置参数，其中，第二隧道建立配置参数包含至少一个AP的IP地址与至少一个SSID的绑定信息。BRAS根据所述第二隧道建立配置参数与至少一个AP建立数据隧道。从而实现了将数据隧道与控制隧道分离，降低了AC不必要的开销。

进一步的，对于图4中步骤100可以通过如下任意一种种可行的实现方式实现：

方式一：宽带接入服务器接收AC发送的第二配置消息，第二配置消息包含第二隧道建立配置参数。

方式二：宽带接入服务器从认证授权记账设备获取第二隧道建立配置参数。

需要说明的，对于方式二，AC会预先将第二隧道建立配置参数发送给认证授权记账设备。并且，由于利用现有技术中AC与认证授权记账设备，以及认证授权记账设备与宽带接入服务器的交互流程，避免了方式一中AC直接向宽带接入服务器发送第二配置消息时造成协议的大量修改，降低了本发明实施例无线局域网隧道建立方法的应用成本。

进一步的，在图4步骤300之后，还包括：

步骤302、BRAS接收至少一个AP发送的建立数据隧道请求。

在接收到至少一个AP发送的建立数据隧道请求后，BRAS可以直接根据二隧道建立配置参数与至少一个AP建立数据隧道，也可以基于该建立数据隧道请求对该AP进行合法性验证。

对于需要对AP进行合法性验证的场景，则在步骤302之后，还包括：

BRAS根据第二隧道建立配置参数对至少一个AP的合法性进行验证。

具体的，若至少一个AP通过合法性验证，则建立数据隧道响应消息包含验证通过指示信息，若AP未通过合法性验证，则建立数据隧道响应消息还可以包含验证未通过指示信息，以指示该AP无法建立数据隧道。

BRAS向至少一个AP发送建立数据隧道响应消息，若至少一个AP通过合法性验证，则建立数据隧道响应消息包含验证通过指示信息。

因此，基于步骤302，图4步骤301的一种可行的实现方式为：

BRAS与通过合法性验证的至少一个AP建立数据隧道。

进一步的，对于涉及BRAS根据第二隧道建立配置参数对至少一个AP的合法性进行验证，一种可行的实现方式为：当BRAS根据至少一个AP的IP地址与至少一个SSID的绑定信息，以及至少一个SSID与至少一个VLAN ID的绑定信息，对至少一个AP的合法性进行验证。

优选的，第二隧道建立配置参数还包含至少一个SSID与至少一个VLAN ID的绑定信息。

由于现有技术中，数据隧道与控制隧道未实现分离，所以需要专门设立一个场点VLAN来说明不同AP与不同BRAS的对应关系。否则，BRAS 无法从AC处获知数据具体是从哪一个AP发送来的。而本实施例中，由于AC告知BRAS的至少一个SSID与至少一个VLAN ID的绑定信息，不需要增设场点VLAN来辨识不同的AP，因此，简化了AP部署的复杂度。

需要说明的是，当AP提供了多个SSID时，此时不同SSID对应的VLAN ID是不同的，仅根据上述至少一个AP的IP地址与至少一个SSID的绑定信息，运营商无法根据该绑定信息在BRAS对具体的属于该运营商的相应服务集进行进一步的处理，为了BRAS在后续的精细化控制(例如测流控制，计费)，因此，第二隧道建立配置参数还包含至少一个SSID与至少一个VLAN ID的绑定信息，以便后续运营商根据至少一个SSID与至少一个VLAN ID的绑定信息，对不同SSID对应的服务集进行精细化控制，并且，对于精细化控制的具体实现方案此处不做限定。

需要说明的是，上述宽BRAS根据第二隧道建立配置参数对至少一个AP的合法性进行验证的一种可行的实现方式为：

宽带接入服务器根据至少一个AP的IP地址与至少一个SSID的绑定信息，以及至少一个SSID与至少一个VLAN ID的绑定信息，对至少一个AP的合法性进行验证。

进一步的，第二隧道建立配置参数还包含每个AP的IP地址对应的至少一种隧道类型。

图5为本发明实施例提供的另一种无线局域网隧道建立方法的流程示意图，参照图5可知，本实施例通过结合AC、AP、宽带接入服务器和认证授权记账设备，从整体上对上述个各实施例以及优选的可行实现方式进行进一步说明，参照5，该方法包括如下步骤：

步骤400、动态主机配置协议(Dynamic host configuration protocol，简称：DHCP)过程：AP从DHCP服务器AP获取AP的IP地址。

具体的，该DHCP过程包含发现消息(discovery)、提供消息(offer)、请求消息(request)、请求消息(request)和确认消息(ack)的交互消息。

步骤401、AC发现过程。

具体的，AC发现过程用于AP发现AC，AC发现过程包含发现请求消息(Discover request)和发现响应消息(Discover response)。

步骤402、AP/AC关联过程。

具体的，当AP决策选择AC后，开始加入阶段。该加入阶段包含加入请求消息(Join request)和加入响应消息(Join Reponse)。

步骤403、版本更新过程。

需要说明的是，步骤403为可选，用于加载AP版本。

步骤404、配置过程。

该配置过程包括，配置状态请求和第一配置消息，AC向AP发送第一配置消息。

具体的，在该第一配置消息中包含第一隧道建立配置参数，该第一隧道建立配置参数包含另一侧BRAS的IP地址与SSID的绑定信息，可选地，还可以携带SSID与VLAN ID的绑定信息，AP根据这个信息与对应的BRAS建立数据隧道。以表1为例：AP提供SSID A1、SSID A2、SSID B1、SSID B2和SSID C，其中SSID A1和SSID A2归属于运营商A，SSID B1和SSID B2归属于运营商B，SSID C归属于运营商C。运营商A的BRAS(运营商网络的接入网关)的IP地址为IP ADDRESS 1，运营商B的BRAS的IP地址为IP ADDRESS 2，运营商C的BRAS的IP地址为IP ADDRESS 3。可选地，运营商的BRAS除了必须提供IP地址外，还可携带BARS支持的隧道类型(如：L2TP，CAPWAP，GRE，IPSEC等等)可选地，AC还可下发对应不同SSID的VLAN ID，比如SSID A1的数据映射到VLAN ID1，SSID A2的数据映射到VLAN ID2，这样运营商A的BRAS收到报文后可根据VLAN ID再进行精细化控制。

表1：BRAS、SSID、VLAN ID的绑定关系

其中，参照表一可知，SSID和VLAN ID关系：可以是1:1；或者，也可以是n:1，但不能是1：n。

步骤405、配置检查过程。

具体的，当配置阶段完成后开始配置检查阶段。该配置检查包含变更状态事件请求(Change State Event Request)消息和变更状态事件响应(Change State Event Response)消息。

步骤406、AC与AP建立控制通道。

具体的，AP与AC间通过CAPWAP隧道的控制通道交互控制报文。

需要说明的是，下述步骤407与步骤408为两种可行的实现方式，本发明实施例中的接入网系统择一运行其中一种步骤即可。

步骤407、AC向BRAS发送第二配置消息。

具体的，该第二配置消息包含第二隧道建立配置参数，进一步的，第二隧道建立配置参数包含AP的IP地址与SSID的绑定信息，可选地，还可携带SSID与VLAN ID的绑定信息，BRAS根据这个信息验证向其发送隧道建立请求的AP的合法性。以表2为例：AP1的IP地址为IP ADDRESS 1，提供SSID A1、SSID A2，其中SSID A1和SSID A2归属于运营商A，可选地，AP除了必须提供IP地址外，还可携带其支持的隧道类型(如：L2TP，CAPWAP，GRE，IPSec等等)。可选地，AC还可下发对应不同SSID的VLAN ID，比如针对AP1，SSID A1的数据映射到VLAN ID1，SSID A2的数据映射到VLAN ID2，这样运营商A的BRAS收到报文后可根据VLAN ID再进行精细化控制。

表2：AP、SSID、VLAN ID的绑定关系

需要说明的是，步骤407中AC将第二配置消息发送给了BRAS，显然，若采用BRAS向认证授权记账设备获取第二隧道建立配置参数的方案，则AC将第二配置消息发送给认证授权记账设备。

步骤408、BRAS向认证授权记账设备发起AP授权检查。

具体的，该授权检查目的为：BRAS收到AP的隧道建立请求后到认证授权记账设备获取上述第二隧道建立配置参数。需要说明的是，BRAS也可以不以收到AP的隧道建立请求作为发起AP授权检查的触发条件，即BRAS主动从认证授权记账设备获取上述第二隧道建立配置参数。

步骤409、数据通道建立。

具体的，AP与BARS间建立数据通道转发用户数据报文。

图6为本发明实施例提供的一种AC的结构示意图，其可以执行图2所示方法的各个步骤，并且本实施例中的各个参数的作用与图2对应实施例中各个参数的作用相同，此处不再赘述。参照图6，该AC包括：发送模块10、控制隧道建立模块11。

发送模块10，用于向AP发送第一配置消息。

具体的，第一配置消息包含第一隧道建立配置参数，其中，第一隧道建立配置参数包含至少一个BARS的IP地址与至少一个SSID的绑定信息，以使AP根据第一隧道建立配置参数与至少一个BARS建立数据隧道，需要说明的是，AP根据第一隧道建立配置参数中BRAS的IP地址建立数据隧道，之后对于用户选择的SSID，AP将该SSID与上述BRAS与SSID的绑定信息进行匹配确定相应的数据隧道，将该SSID的数据通过该数据隧道发送给对应的BRAS。

控制隧道建立模块11，用于与至少一个AP建立控制隧道。

本实施例提供的AC，通过发送模块向AP发送第一配置消息，其中，第一配置消息包含第一隧道建立配置参数，其中，第一隧道建立配置参数包含至少一个BARS的IP地址与至少一个SSID的绑定信息，以使AP根据第一隧道建立配置参数与至少一个BARS建立数据隧道。控制隧道建立模块与AP建立控制隧道，从而实现了将数据隧道与控制隧道分离，降低了AC不必要的开销。

进一步的，发送模块10，还用于向BRAS或者认证授权记账设备发送第二配置消息.

具体的，第二配置消息包含第二隧道建立配置参数，其中，第二隧道建立配置参数包含至少一个AP的IP地址与至少一个SSID的绑定信息。需要说明的是，AP与认证授权记账设备，AP与BRAS的交互可以通过但不限定于RADIUS消息，即第二配置消息具体可以为RADIUS消息。

为了使得AP与BRAS建立数据隧道，另一种可行的方式为，在发送模块10将第一隧道建立配置参数发送给AP的基础上，发送模块10将AP与SSID的绑定关系告知BRAS，从而使得BRAS根据该绑定关系选择相应的AP进行数据隧道的建立。但是，发送模块10将AP与SSID的绑定关系告知BRAS的方式有多种，此处仅以发送模块10直接将AP与SSID的绑定关系告知BRAS，以及经认证授权记账设备告知BRAS为例进行说明，对于其他可行的实现方式，本发明实施例并不做限定。具体的，第二配置消息包含第二隧道建立配置参数，其中，第二隧道建立配置参数包含至少一个AP的IP地址与至少一个SSID的绑定信息，该绑定信息即表征AP与SSID的绑定关系。

需要说明的是，对于发送模块10向BRAS直接发送第二配置消息的实现方式。该方式需要修改大量的现有协议，为了尽量利用现有技术的协议构架，避免不必要的协议修改，降低成本，通过现有协议中AC与认证授权记账设备的交互，以及认证授权记账设备与BRAS的交互即可以避免上述因为修改协议造成的额外成本。即，发送模块10向认证授权记账设备发送包含第二隧道建立配置参数的第二配置消息，当BRAS需要与AP建立数据隧道时，从认证授权记账设备获取相应的第二隧道建立配置参数。

优选的，第一隧道建立配置参数还包含至少一个SSID与至少一个VLAN ID的绑定信息。

由于现有技术中，数据隧道与控制隧道未实现分离，所以需要专门设立一个场点VLAN来说明不同AP与不同BRAS的对应关系。否则，BRAS无法从AC处获知数据具体是从哪一个AP发送来的。而本实施例中，由于AC告知AP相关绑定信息，不需要增设场点VLAN来辨识不同的AP，因此，简化了AP部署的复杂度。

需要说明的是，当AP提供了多个SSID时，此时不同SSID对应的VLAN ID是不同的，仅根据上述至少一个AP的IP地址与至少一个SSID的绑定信息，运营商无法根据该绑定信息在BRAS对具体的属于该运营商的相应服务集进行进一步的处理，为了运营商在后续的精细化控制(例如测流控制，计费)，因此，第一隧道建立配置参数还包含至少一个SSID与至少一个VLAN ID的绑定信息，以便后续运营商根据至少一个SSID与至少一个VLAN ID的绑定信息，对不同SSID对应的服务集进行精细化控制，并且，对于精细化控制的具体实现方案此处不做限定。进一步的，对于涉及BARS根据第二隧道建立配置参数对至少一个AP的合法性进行验证，一种可行的实现方式为：当BRAS根据至少一个AP的IP地址与至少一个SSID的绑定信息，以及至少一个SSID与至少一个VLAN ID的绑定信息，对至少一个AP的合法性进行验证。

第二隧道建立配置参数还包含至少一个SSID与至少一个VLAN ID的绑定信息，可选的，BARS可以根据至少一个AP的IP地址与至少一个SSID的绑定信息，以及至少一个SSID与至少一个VLAN ID的绑定信息，对至少一个AP的合法性进行验证。

优选的，第一隧道建立配置参数还包含每个BARS的IP地址对应的至少一种隧道类型。

第二隧道建立配置参数还包含每个AP的IP地址对应的至少一种隧道类型。

图7为本发明实施例提供的一种AP的结构示意图，该AP能够执行图3所示方法的各个步骤，参照图7，该AP包括：接收模块20、控制隧道建立模块21、数据隧道建立模块23。

接收模块20，用于AC发送的第一配置消息。

具体的，第一配置消息包含第一隧道建立配置参数，其中，第一隧道建立配置参数包含至少一个BRAS的IP地址与至少一个SSID的绑定信息。

控制隧道建立模块21，用于与AC建立控制隧道。

数据隧道建立模块23，用于根据第一隧道建立配置参数，与至少一个BRAS建立数据隧道。

需要说明的是，AP根据第一隧道建立配置参数中BRAS的IP地址建立数据隧道，之后对于用户选择的SSID，AP将该SSID与上述BRAS与SSID的绑定信息进行匹配确定相应的数据隧道，将该SSID的数据通过该数据隧道发送给对应的BRAS。

需要说明的是，本实施中的控制隧道建立模块21与数据隧道建立模块23可以为两个独立的模块，也可以合并为一个模块，此处不予限定。

本实施例提供的AP，通过接收模块接收AC发送的第一配置消息，其中，第一配置消息包含第一隧道建立配置参数，其中，第一隧道建立配置参数包含至少一个BRAS的IP地址与至少一个SSID的绑定信息，并且，控制隧道建立模块与AC建立控制隧道，数据隧道建立模块根据第一隧道建立配置参数，与至少一个BRAS建立数据隧道。从而实现了将数据隧道与控制隧道分离，降低了AC不必要的开销。

在图7基础上，图8为本发明实施例提供的一种AP的结构示意图，参照图8，该AP还包括：发送模块22、标识添加模块24。

发送模块22，用于根据第一隧道建立配置参数向至少一个BRAS发送建立数据隧道请求。

进一步的，在发送模块22发送建立数据隧道请求的基础上，接收模块20，还用于接收至少一个BRAS发送的建立数据隧道响应消息，若AP的安全性通过至少一个BRAS验证，则建立数据隧道响应消息包含验证通过指示信息。

优选的，数据隧道建立模块23，具体用于根据验证通过指示信息和第一隧道建立配置参数，与至少一个BRAS建立数据隧道。

标识添加模块24，用于在数据隧道建立模块23与至少一个BRAS建立数据隧道之后，若AP存在至少一个SSID与至少一个VLAN ID的绑定信息，根据用户选择的SSID，以及至少一个SSID与至少一个VLAN ID的绑定信息，为用户数据添加相应的VLAN ID。

发送模块22，还用于根据至少一个BRAS的IP地址与至少一个SSID的绑定信息，将用户数据通过AP与BRAS的数据隧道发送对应的BRAS。

第一隧道建立配置参数还包含每个BRAS的IP地址对应的至少一种隧道类型。

图9为本发明实施例提供的一种BRAS的结构示意图，该BRAS可以执行图4所示方法的各个步骤，参照图9，该BRAS包括：获取模块30、数据隧道建立模块32。

获取模块30，用于获取第二隧道建立配置参数。

数据隧道建立模块32，用于根据第二隧道建立配置参数与至少一个AP建立数据隧道。

本实施例提供的BRAS，通过获取模块获取第二隧道建立配置参数，其中，第二隧道建立配置参数包含至少一个AP的IP地址与至少一个SSID的绑定信息。数据隧道建立模块根据所述第二隧道建立配置参数与至少一个AP建立数据隧道。从而实现了将数据隧道与控制隧道分离，降低了AC不必要的开销。

进一步的，对于图9中获取模块30获取第二隧道建立配置参数可以通过如下任意一种可行的实现方式实现：

方式一：获取模块30，具体用于接收接入控制器发送的第二配置消息，第二配置消息包含第二隧道建立配置参数。

方式二：获取模块30，具体用于从认证授权记账设备获取第二隧道建立配置参数。

在图9的基础上，图10为本发明实施例提供的另一种BRAS的结构示意图，参照图10，BRAS还包括：接收模块31、验证模块33、发送模块34。

接收模块31，用于接收至少一个AP发送的建立数据隧道请求。

进一步的，在接收模块31接收到至少一个AP发送的建立数据隧道请求后，数据隧道建立模块32可以直接根据二隧道建立配置参数与至少一个AP建立数据隧道，也可以基于该建立数据隧道请求对该AP进行合法性验证。

具体的，对于需要对AP进行合法性验证的场景，在接收模块31，收至少一个AP发送的建立数据隧道请求之后，可选的，验证模块33，用于根据第二隧道建立配置参数对至少一个AP的合法性进行验证。

发送模块34，用于向至少一AP发送建立数据隧道响应消息，若至少一个AP通过合法性验证，则所述建立数据隧道响应消息包含验证通过指示信息。

则数据隧道建立模块32，具体用于与通过合法性验证的至少一个AP建立数据隧道。

由于现有技术中，数据隧道与控制隧道未实现分离，所以需要专门设立一个场点VLAN来说明不同AP与不同BRAS的对应关系。否则，BRAS无法从AC处获知数据具体是从哪一个AP发送来的。而本实施例中，由于AC告知BRAS相关的绑定信息，不需要增设场点VLAN来辨识不同的AP，因此，简化了AP部署的复杂度。

验证模块32，具体用于根据至少一个AP的IP地址与至少一个SSID的绑定信息，以及至少一个SSID与至少一个VLAN ID的绑定信息，对至少一个接入点设备的合法性进行验证。

图11为本实施例提供的一种接入网系统的结构示意图，需要说明的是，图11包含与本发明实施例相关的各个设备，对于图11中示出其他设备还包括：路由器(Router)、入口设备(Portal)、交换机(SW)，这些设备的具体作用此处不做赘述。不同的BRAS可能属于不同的运营商，例如图11中包含两个运营商Operator A和Operator B。参照图11，该接入网系统包括：至少一个AC、至少一个AP，至少一个宽带接入服务器。

其中，AC可以执行图2所示方法的各个步骤，AP可以执行图3所示方法的各个步骤，宽带接入服务器可以执行图4所示方法的各个步骤。

本实施例提供的接入网系统，通过AC向AP发送第一配置消息，其中，第一配置消息包含第一隧道建立配置参数，其中，第一隧道建立配置参数包含至少一个BRAS的IP地址与至少一个SSID的绑定信息，并且，AP与AC建立控制隧道，可选的，AC向BRAS发送第二配置消息，其中，第二配置消息包含第二隧道建立配置参数；或者，BRAS从认证授权记账设备获取第二隧道建立配置参数。需要说明的是，AC预先将第二隧道建立配置参数发送给认证授权记账设备，其中，第二隧道建立配置参数包含至少一个AP的IP地址与至少一个SSID的绑定信息。BRAS根据第二隧道建立配置参数与至少一个AP建立数据隧道。从而实现了将数据隧道与控制隧道分离，降低了AC不必要的开销。

进一步的，由于现有技术中，数据隧道与控制隧道未实现分离，所以需要专门设立一个场点VLAN来说明不同AP与不同BRAS的对应关系。否则，BRAS无法从AC处获知数据具体是从哪一个AP发送来的。而本实施例中，由于AC分别告知AP与BRAS至少一个SSID与至少一个VLANID的绑定信息，不需要增设场点VLAN来辨识不同的AP，因此，简化了AP部署的复杂度。

需要说明的是，本实施例中第一隧道建立配置参数和第二隧道建立配置参数优化后，还可以包含其他相关信息，本发明上述实施例中已经对这些优化的信息进行了说明，此处不再赘述。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

一种无线局域网隧道建立方法，其特征在于，包括：

接入控制器向接入点设备发送第一配置消息，所述第一配置消息包含第一隧道建立配置参数，其中，所述第一隧道建立配置参数包含至少一个宽带接入服务器的IP地址与至少一个服务集标识的绑定信息，以使所述接入点设备根据所述第一隧道建立配置参数与至少一个所述宽带接入服务器建立数据隧道；

所述接入控制器与至少一个所述接入点设备建立控制隧道。
根据权利要求1所述的方法，其特征在于，还包括：

所述接入控制器向所述宽带接入服务器或者认证授权记账设备发送第二配置消息，其中所述第二配置消息包含所述第二隧道建立配置参数，其中，所述第二隧道建立配置参数包含至少一个所述接入点设备的IP地址与至少一个所述服务集标识的绑定信息。
一种接入控制器，其特征在于，包括：

发送模块，用于向接入点设备发送第一配置消息，所述第一配置消息包含第一隧道建立配置参数，其中，所述第一隧道建立配置参数包含至少一个宽带接入服务器的IP地址与至少一个服务集标识的绑定信息，以使所述接入点设备根据所述第一隧道建立配置参数与至少一个所述宽带接入服务器建立数据隧道；

控制隧道建立模块，用于与至少一个所述接入点设备建立控制隧道。
根据权利要求3所述的接入控制器，其特征在于，所述发送模块，还用于向所述宽带接入服务器或者认证授权记账设备发送第二配置消息，所述第二配置消息包含第二隧道建立配置参数，其中，所述第二隧道建立配置参数包含至少一个所述接入点设备的IP地址与至少一个所述服务集标识的绑定信息。
一种接入点设备，其特征在于，包括：

接收模块，用于接收接入控制器发送的第一配置消息，所述第一配置消息包含第一隧道建立配置参数，其中，所述第一隧道建立配置参数包含至少一个宽带接入服务器的IP地址与至少一个服务集标识的绑定信息；

控制隧道建立模块，用于与所述接入控制器建立控制隧道；

数据隧道建立模块，用于根据所述第一隧道建立配置参数，与至少一个所述宽带接入服务器建立数据隧道。
根据所述权利要求5所述的接入点设备，其特征在于，还包括：

发送模块，用于根据所述第一隧道建立配置参数向至少一个所述宽带接入服务器发送建立数据隧道请求。
根据所述权利要求6所述的接入点设备，其特征在于，所述接收模块，还用于接收至少一个所述宽带接入服务器发送的建立数据隧道响应消息，若所述接入点设备的安全性通过至少一个所述宽带接入服务器验证，则所述建立数据隧道响应消息包含验证通过指示信息。
根据所述权利要求5-7任意一项所述的接入点设备，其特征在于，所述第一隧道建立配置参数还包含至少一个所述服务集标识与至少一个虚拟区域网标识的绑定信息。
根据所述权利要求8所述的接入点设备，其特征在于，还包括：

标识添加模块，用于若所述接入点设备存在至少一个所述服务集标识与至少一个所述虚拟区域网标识的绑定信息，则根据用户选择的所述服务集标识，以及至少一个所述服务集标识与至少一个所述虚拟区域网标识的绑定信息，为用户数据添加相应的所述虚拟区域网标识；

所述发送模块，还用于根据至少一个宽带接入服务器的IP地址与至少一个服务集标识的绑定信息，将所述用户数据通过所述接入点设备与所述宽带接入服务器的所述数据隧道发送对应的所述宽带接入服务器。
一种宽带接入服务器，其特征在于，包括：

获取模块，用于获取第二隧道建立配置参数，其中，所述第二隧道建立配置参数包含至少一个所述接入点设备的IP地址与至少一个所述服务集标识的绑定信息；

数据隧道建立模块，用于根据所述第二隧道建立配置参数与至少一个所述接入点设备建立数据隧道。
根据权利要求10所述的宽带接入服务器，其特征在于，所述获取模块，具体用于接收接入控制器发送的第二配置消息，所述第二配置消息包含第二隧道建立配置参数；或者，

所述获取模块，具体用于从认证授权记账设备获取所述第二隧道建立配置参数。
根据权利要求10或11所述的宽带接入服务器，其特征在于，还包括：接收模块，用于接收至少一个所述接入点设备发送的建立数据隧道请求。
根据权利要求12所述的宽带接入服务器，其特征在于，还包括：

验证模块，用于根据所述第二隧道建立配置参数对至少一个所述接入点设备的合法性进行验证；

发送模块，用于向至少一个所述接入点设备发送建立数据隧道响应消息，若至少一个所述接入点设备通过合法性验证，则所述建立数据隧道响应消息包含验证通过指示信息；

所述数据隧道建立模块，具体用于与通过合法性验证的至少一个所述接入点设备建立数据隧道。
一种接入网系统，其特征在于，包括：至少一个权利要求3-4任意一个所述的接入控制器、至少一个权利要求5-9任意一个所述的接入点设备和至少一个权利要求10-13任意一个所述的宽带接入服务器。