WO2013178017A1

WO2013178017A1 - 无线局域网中认证信息处理方法及相关设备、计算机程序及存储介质

Info

Publication number: WO2013178017A1
Application number: PCT/CN2013/075553
Authority: WO
Inventors: 邓辉; 罗海云; 曹振; 陈一帆; 邵春菊; 刘鸿
Original assignee: ***通信集团公司
Priority date: 2012-05-28
Filing date: 2013-05-13
Publication date: 2013-12-05
Also published as: CN103458405A

Abstract

本发明公开了一种无线局域网中认证信息处理方法及相关网络设备、计算机程序及存储介质，用以减少流经AC设备的数据流量，其中，无线局域网中认证信息处理方法，包括：前端网络设备接收终端设备发送的数据包，所述前端网络设备位于WLAN***中的AC设备之前；并检测所述数据包；以及确定所述数据包满足预设的认证数据包条件时，将所述数据包发送给AC设备。

Description

无线局域网（WLAN， Wireless Local Area Network)是一种能够在一定区域范围内支持移动特性的无线宽带接入方式， WLAN为用户访问互联网提供了一种宽带接入方式。通过 WLAN接入***，用户能够使用万维网（WWW, World WMe Web ) , 文件传输、议（FTP， File Transfer Protocol) , E- mail等各种互联网业务。 WLAN接入***完成用户的接入，接入控制，计费信息采集以及务管理和控制等。 WLAN接入***主要由接入点（AP， Access Point) 设备和业务控制（AC, Access Controller) 设备以及其它相关网络设备组成。

AP设备是 WLAN的小型无线基站设备，完成 802,11系列标准的无线接入； AP 设备也是一种网络桥接器，是连接有线网络与无线网络的桥梁，任何 WLAN终端设备均可通过相应的 AP设备接入到有线网络资源。在安全控制方面， AP设备可以通过网络标志和介质访问控制（MAC设备， Media Access Control )地址来控制用户接入；同时 AP设备支持有线等效保密（ WEP， Wired Equivalent Privacy) 空中加密，保护用户信息安全；在数据通讯方面， AP设备负责完成它与 WLAN终端设备之间所传输的数据包的加密和解密。

目前，运营商部署的 WLAN网络， AP设备负责提供无线信号， AC设备作为接入控制器，负责属下多个 AP设备的无线管理配置。通常， AC设备有两种形态，一种是合一模式，即 AC设备既负责 AP设备的无线管理配置，也负责务 /认证控制。另一种是分离模式，即 AC设备只负责 AP设备的无线管理配置，业务 /认证控制这部分功能放在另外一台设备上完成，遥常是宽带远程接入服务器 ( BRAS， Broadband Remote Access Server )。

由于在分离模式下，网络发展和融合面临了很多问题，首先基于分离模式下的性能管理需要网管***分别从 BRAS和 AC设备进行数据采集，并同 ø寸完成数据合并，需要网管进行较大改造；其次，分离模式下，由于认证功能在 BRAS上执行，为了实现 EAP-PEAP/EAP-SIM等无感知认证（从已有用户信息中获取认证信息，用户对于认证过程无感知）技术，需要增加 AC设备和 BRAS设备接口，用于下发认证成功后的密钥等信息，耗费周期较长，难以满足无感知认证的时间要求。因此，现有技术中通常采用合一模式部署 AC设备。

目前流经 AP设备的数据包可以包括以下两类：包含认证信息的认证数据包和包含非认证信息的普通数据包，目前， WLAN接入 ***中，各设备对数据包处理流程如下： AP设备接收到终端设备发送的数据包后，不进行任何处理即发送给 AC设备， AC设备解析接收到的数据包，若 AC设备确认接收到的数据包为认证数据包，将对认证数据包进行处理，否则，若为普通数据包将发送到互联网。由上述流程可知，现有技术中， AP设备接收到的所有数据包均需要发送给 AC设备，但是 AC设备只需要处理其中的认证数据包，这样， - -方面造成了 AC设备成为数据流量的处理瓶颈，降低了 AC设备的处理速度，另一方面也浪费了 AC设备的处理资源。本发明实施例提供一种无线局域网中认证信息处理方法及相关设备、计算机程序及存储介质，用以减少流经 AC设备的数据流量。

本发明实施例提供一种无线局域网认证信息处理方法，包括：

前端网络设备接收终端设备发送的数据包，所述前端网络设备位于无线局域网 WLAN***中的接入控制 AC设备之前；并

检测所述数据包；以及

确定所述数据包满足预设的认证数据包条件^,将所述数据包发送给 AC 设备。

本发明实施例提供一种网络设备，所述网络设备位于无线局域网 WLAN ***中的接入控制 AC设备之前，以及

所述网络设备，包括：

接收单元， ^于接收终端设备发送的数据包；

检测单元，用于检测所述数据包，并确定所述数据包满足预设的认证数据包条件；

发送单元，用于检測单元确定所述数据包满足预设的认证数据包条件时, 将所述数据包发送给 AC设备。

本发明的实施例还提供一种用于执行上述方法的计算机程序及存储该计算机程序的存储介质。

本发明实施例提供的无线局域网中认证信息处理方法及相关设备，位于 WLAN***中的 AC设备之前的网络设备检测接收到的数据包，以确定该数据包是否满足预设的认证数据包条件，当接收到的数据包满足预设的认证数据包条件时，将该数据包发送给 AC设备处理，当接收到的数据包不满足预设的认证数据包条件日寸，将该数据包发送给 BRAS或者互联网，从而使得非认证数据包不会发送给 AC设备，从而，减少了 AC设备处理的数据流量，节约了 AC设备的处理资源，同时，由于减少了 AC设备需要处理的数据流量，相应地，提高了 AC设备的处理速度。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者遥过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及^图中所特别指出的结构来实现和获得。图 1 为本发 I 1实施例中，无线局域网中认证信息处理方法的实施流程示意图；

图 2为本发 H 实施例中， AP设备对接收到的数据包进行处理的处理流程示意图；

图 3为本发 H 实施例中，网络设备的结构示意图。

AC设备的数据流量，节约 AC设备的处理资源，提高 AC

本发明实施例提供了一种无线局域网中认证信息处理方法书附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明，并—且. 在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。如图 1所示，为本发明实施例中，无线局域网中认证信息处理方法的实施流程示意图，包括以下步骤：

SI0 前端网络设备接收终端设备发送的数据包；

其中，前端网络设备可以为位于无线局域网（WLAN) ***中的 AC设备之前的网络设备；终端设备发送的数据包可以为认证数据包，也可以为普通数据包。

5102、前端网络设备检测接收到的数据包；

5103、前端网络设备判断接收到的数据包是否满足预设的认证数据包条件，如果是，执行步骤 S104, 否则执行步骤 S105;

5104、将该数据包发送给 AC设备；

5105、将接收到的数据包发送给 BRAS设备或者将接收到的数据包发送到互联网。

具体实施时，本发明实施例提供了两种实现方式，一种是在 AP 设备上对数据包进行检测，一种是在与 AP 设备连接的上一层网络设备上对数据包进行检测，其中，与 AP 设备连接的上一层网络设备可以但不限于为路由器设备或者交换机设备，以下分别介绍之。

实现方式一 AP设备对数据包进行检测

当 AP 设备接收到终端设备发送的数据包之后，首先要判断该数据包是否为认证数据包，然后，将认证数据包的数据包发送给 AC设备进行处理；对于非认证数据包的数据包， AP设备将直接通过 AP设备与 BRAS设备之间的隧道进行转发，或者直接进行 MAC层转换后发送到互联网中。

具体实施时，终端设备在接入 WLAN时，需要完成网络认证，特别是在无感知网络认证中，通常采用不同的可扩展认证、议（EAP , Extensible Authentication Protocol)认证方法，当终端与网络之间采用 EAP认证方法时，所传输的认证数据包称为 EAP认证数据包，为了便于描述，本发明实施例中以认证数据包为 EAP认证数据包为例进行说明。

EAP认证数据包通过 EAPOL (EAP over LAN) 协议进行封装，其数据包格式如表 1所示：音？、 -入 ¾' 字节数

802.1 χ Ethernet type 2

Protocol version 1

Packet type 1

Packet body length 2

Packet body 根据长度可变其中 , 802.1 χ Ethernet type表示以太网类型， Protocol version表示采用的协议版本号； Packet type表示数据包类型； Packet body length表示数据包包体长度； Packet body表示包体，其占用的字节数由 Packet body length确定。其中， Packet Type包含以下几种数据包： a) EAP-PACKET: EAP认证数据包， Packet Type-0； b) EAPOL- START： EAP 认证开始， Packet Type =1 ; c) EAPOL-LOGOFF: EAP认证终止， Packet Type -2； d) EAPOL- EY: EAP 认证成功后的密钥传递， Packet Type -3 ； e) EAPOL- ENCAPSULATED ASF- ALERT : 供通过非授权端口传递紧急信息, Packet Type =4。

目前，表 1中的 802, lx Ethernet Type已经由 IEEE分配了一个值为 0x888E ( 16迸制数，对应十迸制 34958)，所有的 EAP认证数据包都具有这个特征值，从而， AP设备可以通过检查该字节的取值来判断出此数据包是 EAP认证数据包。当 AP设备识别出 EAP认证数据包时，需要使用某种隧道协议对该 EAP数据包进行封装，以便将该 EAP认证数据包发送给 AC设备。具体实施时， AP设备对 EAP认证数据包进行封装所采用的隧道协议可以但不限于包括无线接入点的控制和配置（CAPW >， Control and Provision of Wireless Access Points)协议、 GRE (遥用路由封装）协议、 UDP (用户数据包）协议、 IP-in-IP (IP里面封装 IP) 协议或者 IPSEC (IP安全协议）等，相应地， AP 设备使用该隧道协议建立与 AC设备之间的隧道，并通过建立的隧道将封装后的 EAP认证数据包发送给 AC设备。特别地，若 AP设备和 AC设备之间采用 CAPWAP协议封装 EAP认证数据包时， CAPEAP ^议中包含两种封装方式， CAPWAP DATA 封装和 CAPWAP- CONTROL 封装，其中 CAPWAP- D ATA ( CAPWAP数据）用于封装数据消息， CAPWAP CONTROL ( CAPWAP 控制）用于封装控制消息。本发明实施例中，既可以使用 CAPWAP- DATA信道封装 EAP认证消息，也可以使用 CAPWAP CONTROL 信道封装 EAP认证消息。以下以使用 CAPWAP CONTROL信道封装 EAP认证消息为例进行说明。

具体实施时，使用 CAPWAP CONTROL信道封装 EAP认证消息可以包括以下两种方式：

方式… ·

1 ) 扩展 CAPWAP协议中的控制消息类型 (Control Message pe), 目前控制消息类型共有 i- 256个可选值，其中仅有 1 -26被明确定义，但是不包含封装 EAP 认证的类型，因此本发明实施例中可以新增 MESSAGE TYPE—

"AUTHENTICATION CONTROL 定义其值为 27- 255中的正整数；

2 ) 扩展 CAPWAP t¾、议中消息元素（MESSAGE ELEMENT )

AUTHENTICATION PAYLOAD ELEMENT, 定义所有 AUTHENTICATION CONTROL消息中需要携带该 ELEMENT, 现有技术定义了消息元素的通用 TLV格式，其中 TYPE (类型）占 16位， LENGTH (长度）占 16位， VALUE

(值）为可变长度（由 LENGTH字段定义），且定义了 TYPE字段从 1 49的语义，本发明实施例中，如果使用 CAPWAP- CONTROL消息传递 EAP认证数据包，则需要定义新的消息元素类型，定义其值为 50-255之间的正整数；定义了上述的 MESSAGE TYPE和 MESSAGE ELEMENT TYPE之后， AP设备就可以把 EAP认证数据包封装在 CAPWAP CONTROL隧道中。 AP 设备和 AC设备在处理 AUTHENTICATION CONTROL类型的消息时，由于该消息只是借用 CAPWAP- CONTROL隧道，因此，不需要对 CAPWAP中定义的序列号等元素做严格检查。与方式一不同，方式二无需扩展 CAPWAP的控制消息类型，而是使用现有的 CAPWAP 控制消息封装认证数据包，例如，使用 Daia Transfer Request/Response封装 EAP认证数据包，该控制消息类型的取值分别为 21/22, 在该控制消息中，具体的消息元素可以采用消息元素 Vendor Specific Pay!oad ( Type: 37 )来承载 EAP认证数据包，在使用时可以自行定义 Element ID以识别 EAP认证数据包。

特别地，在现有技术中，由 AC设备记录终端设备使用的数据流量，但是，由于本发明实施例中，在 AC设备根据接收到的数据包对终端设备完成认证之后，终端设备使用的数据流量（即非认证数据包）由 AP 设备直接转发至 BRAS或者互联网，因此，流量计费和用户下线功能无法在 AC设备上执行，需要其他的功能实体才能实现流量计费。

较佳地，本发明实施中，可以由 AP 设备记录终端设备使用的数据流量信息，并按照预设周期、通过 AP设备和 AC设备之间建立的隧道将终端设备使用的数据流量信息上报给 AC设备，当终端设备使用的数据流量达到该终端设备预设流量的一定比例时，可以提供定期的提醒功能。例如，当使用流量达到预设流量的 20%, 50%, 80%时分别发送提醒消息给终端设备，便于 ^户更好的管理自己的流量。具体的， AP设备确定 AC设备在根据接收到的数据包完成对终端设备的认证之后，开始记录终端设备使用的数据流量信息，具体实施时， AC设备在完成对终端设备的认证之后，会向 AP设备发送认证成功消息，例如 AC设备在认证成功之后，会向 AP设备下发密钥， AP设备以接收到密钥之后确定 AC设备对终端设备认证成功。

基于上述分析，本发明实施例中， AP设备可以按照以下方法对数据包迸行处理，如图 2所示，包括以下步骤：

S20 AP设备接收终端设备发送的数据包；

具体的，终端设备需要与 WLAN建立连接时，将向 AP设备发送认证数据包；当终端设备与 WLAN建立连接之后，通过 WLAN访问互联网时，将向 AP设备发送普通数据包。

5202、 AP设备检查接收到的数据包指定字段的取值；

5203 , AP设备判断该指定字段的取值是否为预设值，如果是，执行步骤例如，若认证数据包为 EAP认证数据包时，指定字段为 802, lx Ethernet Type, 而其对应的取值为 0x888E,

5204、 AP设备确定接收到的数据包满足预设的认证数据包条件，并执行步骤 S206;

若接收到的数据包满足预设的认证数据包条件， AP设备可以确定接收到的数据包为认证数据包。

5205、 AP设备确定接收到的数据包不满足预设的认证数据包条件，并执行步骤 S215 ;

5206、 AP设备采用 CAPWAP ¾议对该数据包进行封装；

5207、将封装后的数据包通过与 AC之间的 CAPWAP隧道发送给 AC设备；

5208、 AC设备根据接收到的数据包对终端设备执行认证操作；

5209、 AC设备完成对该终端设备的认证之后，遥过 CAPWAP隧道将密

5210、 AP设备将接收到的密钥转发给终端设备；

S21 终端设备通过接入的 WLAN访问互联网；

具体的，终端设备访问互联网时，将向 AP设备发送普遥数据包，产生普通数据流量；

5212, AP设备记录终端设备使用的数据流量信息；

5213, AP设备按照预设周期、通过 CAPWAP隧道将终端设备使用的数据流量信息上报给 AC设备；

5214, AC设备在终端使用的数据流量信息达到预设流量的一定比例时，遥过短信方式通知终端设备；

5215, AP设备将接收到的数据包转发给 BRAS设备或者互联网。

具体的， AP设备在确定接收到的数据包为普通数据包时，将该数据包通过与 BRAS之间的隧道转发给 BRAS设备处理，或者直接进行 MAC层转换发送到互联网。

实现方式一中，在 AP设备上通过认证数据包的特征值检测 AP设备接收到的数据包是否为认证数据包，如果是，将该数据包进行封装后，通过 AP 设备和 AC设备之间的隧道发送给 AC设备进行处理，如果否，将该数据包发送通过 AP设备与 BRAS设备之间的隧道发送给 BRAS设备处理或者发送给互联网，这样，只有部分流经 AP设备的数据流量被转发至 AC设备处理，认而，减少了 AC设备上处理的数据流量，节约了 AC设备的处理资源，相应地，能够提高 AC设备的处理速度。

实现方式二

实现方式二中，在 WLAN***中、与 AP设备连接且位于 AP设备之后的网络设备上进行数据包检测，该网络设备可以为交换机设备或者路由器设备。需要说明的是，本发明实施例中，以终端发送的数据包在各网络设备间的传输顺序来描述各网络设备在网络中的位置，例如，数据包经由 AP 设备向交换机设备传输，则交换机设备为位于 AP 设备之后的网络设备。在这种实现方式下，该网络设备检测数据包是否为认证数据包的流程与 AP 设备检测数据包的流程相同，这里不再赘述。二者的区别在于：将确定为认证数据包的数据包发送给 AC设备时的发送方式不同，具体的，当该网络设备确定接收到的数据包为认证数据包时，将对接收到的数据包进行处理，具体的，该网络设备使 ^隧道协议封装接收到的数据包；填充该数据包的源地址为与自身连接的 AP设备的地址，以及填充该数据包的目标地址为 AC设备地址；并根据填充的目标地址转发该数据包，使得 AC设备能够接收到该数据包并进行处理。其中，该网络设备使 ^的隧道协议可以但不限于包括 CAP AP协议、 GRE协议、 UDP协议、 IP- in- IP 、议或者 IP安全协议 IPSEC等。

AC设备接收到数据包之后，根据接收到的数据包对终端设备迸行认证，在完成对终端设备的认证之后， AC设备将向 AP设备发送认证成功消息， AP 设备接收到该认证成功消息之后，将开始记录该终端设备使用的数据流量信息，并按照预设周期上报给 AC设备，使得 AC设备能够根据终端设备使用的数据流量信息进行相应地处理，其处理方式与实现方式一中相同，这里不再赘述。

基于同一发明构思，本发明实施例中还提供了相关网络设备，这些，网络设备位于无线局域网 WLAN***中的接入控制 AC设备之前，由于这些设备解决问题的原理与无线局域网中认证信息处理方法相似，因此这些设备的实施可以参见方法的实施，重复之处不再赘述。

如图 3所示，为本发明实施例提供的网络设备的结构示意图，包括：接收单元 301，用于接收终端设备发送的数据包；

检测单元 302，用于检測接收单元 301接收到的数据包，并确定该数据包满足预设的认证数据包条件；

发送单元 303，用于检測单元 302确定该数据包满足预设的认证数据包条件时，将该数据包发送给 AC设备。

具体实施时，发送单元 303，还可以用于确定该数据包不满足预设的认证数据包条件时，将该数据包发送给宽带远程接入服务器 BRAS设备或者将该数据包发送到互联网。

较佳地，检测单元 302，可以包括：

检查子单元，用于检查所述数据包指定字段的取值；

确定子单元，用于若指定字段的取值为预设值时，确定所述数据包满足预设的认证数据包条件。

其中，该网络设备可以为 AP (接入点）设备，当该网络设备为接入点设备时，发送单元 303 , 可以 ^于使 ^隧道协议封装该数据包，以及封装后的数据包通过 AP设备与 AC设备之间的隧道发送给 AC设备，该隧道使用该隧道协议建立。其中，使用的隧道协议可以但不限于包括 CAPWAP 、议、 GRE 协议、 UDP t¾、议、 IP m- IP协议或者 IP安全协议 IPSEC; 具体实施时，若采 ^的隧道、议为 CAP AP 、议时，发送单元 303，可以用于使用 CAPWAP-DATA信道或者 CAPWAP- CONTROL信道封装该数据包。

较佳地，若该网络设备为接入点设备时，接入点设备还可以包括：记录单元，用于在接收到 AC设备发送的认证成功消息之后，记录该终端设备使用的数据流量信息；

上报单元，用于按照预设周期向 AC设备上报记录的数据流量信息。具体实施时，该网络设备还可以为 WLAN***中，与 AP设备连接且位于 AP 设备之后的网络设备，例如可以为路由器设备或者交换机设备，当该网络设备为与 AP设备连接且位于 AP设备之后的网络设备时，发送单元 303 可以用于使用隧道协议封装接收到的数据包；填充该数据包的源地址为 AP 设备的地址，以及填充该数据包的目标地址为 AC设备地址；并根据填充的目标地址转发该数据包。

本发明实施例提供的无线局域网中认证信息处理方法及相关设备，在

WLAN接入***中，位于 AC设备之前的网络设备，检测接收到的数据包，以确定该数据包是否满足预设的认证数据包条件，当接收到的数据包满足预设的认证数据包条件日寸，将该数据包发送给 AC设备处理，当接收到的数据包不满足预设的认证数据包条件日寸，将该数据包发送给 BRAS或者互联网，认而使得非认证数据包不会发送给 AC设备，从而，减少了 AC设备处理的数据流量，节约了 AC设备的处理资源，同时，由于减少了 AC设备需要处理的数据流量，相应地，提高了 AC设备的处理速度。

本领域内的技术人员应明白，本申请的实施例可提供为方法、 ***、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可 ^程序代码的计算机可用存储介质（包括但不限于磁盘存储器、 CD- ROM、光学存储器等）上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备（***）、和计算机程序产品的流程图和 /或方框图来描述的。应理解可由计算机程序指令实现流程图和 I或方框图中的每一流程和 I或方框、以及流程图和 I或方框图中的流程和 I或方框的结合。可提供这些计算机程序指令到通 ^计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的直

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所^权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

一种无线局域网中认证信息处理方法，其特征在于，包括：前端网络设备接收终端设备发送的数据包，所述前端网络设备位于无线局域网 WLAN***中的接入控制 AC设备之前；并

检测所述数据包；以及

确定所述数据包满足预设的认证数据包条件时，将所述数据包发送给 AC 设备。

2、如权利要求 1所述的方法，其特征在于，还包括：

确定所述数据包不满足预设的认证数据包条件时，将所述数据包发送给宽带远程接入服务器 BRAS设备或者将所述数据包发送到互联网。

3、如权利要求 1所述的方法，其特征在于，按照以下方法确定所述数据检查所述数据包指定字段的取值；以及

若指定字段的取值为预设值时，确定所述数据包满足预设的认证数据包余 ΊΤ。

4、如权利要求 3所述的方法，其特征在于，所述前端网络设备为接入点 ΑΡ设备；以及

将所述数据包发送给 AC设备，具体包括：

使用隧道协议封装所述数据包；并

将封装后的数据包通过 AP设备与 AC设备之间的隧道发送给 AC设备，所述隧道使用所述隧道 ^议建立。

5、如权利要求 4所述的方法，其特征在于，若所述隧道协议为 CAPWAP 协议时，使用隧道协议封装所述数据包，具体包括：

使用 CAPWAP 数据 CAPWAP DATA 信道或者 CAPWAP 控制 CAPWAP- CONTROL信道封装所述数据包。

6、如权利要求 5所述的方法，其特征在于，使用 CAPWAP- CONTROL 信道封装所述数据包时，还包括：扩展 CAP AP CONTROL消息类型，并定义扩展的 CAP AP- CONTROL 消息类型值为 27〜255中任一整数值；或者

扩展 CAPWAP CONTROL消息元素，并定义扩展的 CAPWAP- CONTROL 消息元素类型值为 50〜255中任一整数值。

7、如权利要求 5所述的方法，其特征在于，使用 CAP AP-CONTROL 信道封装所述数据包，具体包括：

使用已定义的 CAPWAP-CONTROL 消息封装所述数据包，并定义 CAPWAP- CONTROL消息的消息元素标识为指定值。

8、如权利要求 3所述的方法，其特征在于，所述前端网络设备为与 AP 设备连接且位于 AP设备之后的网络设备；以及

将所述数据包发送给 AC设备，具体包括：

使用隧道协议封装所述数据包；并

填充所述数据包的源地址为所述 AP 设备的地址，以及填充所述数据包的目标地址为 AC设备地址；并

根据所述目标地址转发所述数据包。

9、如权利要求 4〜8任一权利要求所述的方法，其特征在于，还包括：所述 AP设备在接收到所述 AC设备发送的认证成功消息之后，记录所述终端设备使用的数据流量信息；并

按照预设周期向所述 AC设备上报记录的数据流量信息。

10、一种网络设备，其特征在于，所述网络设备位于无线局域网 WLAN ***中的接入控制 AC设备之前，以及

所述网络设备，包括：

接收单元，用于接收终端设备发送的数据包；

发送单元，用于检测单元确定所述数据包满足预设的认证数据包条件时，将所述数据包发送给 AC设备。

I 如权利要求 10所述的网络设备，其特征在于，

所述发送单元，还用于确定所述数据包不满足预设的认证数据包条件寸，将所述数据包发送给宽带远程接入服务器 BRAS设备或者将所述数据包发送到互联网。

12、如权利要求 10所述的网络设备，其特征在于，所述检测单元，包括：检查子单元，用于检查所述数据包指定字段的取值；

13、如权利要求 10所述的网络设备，其特征在于，所述网络设备为接入点 AP 设备，所述发送单元，具体用于使用隧道协议封装所述数据包，以及将封装后的数据包通过 AP设备与 AC设备之间的隧道发送给 AC设备，所述隧道使用所述隧道协议建立。

14、如权利要求 13所述的网络设备，其特征在于，

所述发送单元，具体用于使 ffi CAPWAP数据 CAP AP- DATA信道或者 CAPWAP控制 CAPWAP- CONTROL信道封装所述数据包。

15、如权利要求 14所述的网络设备，其特征在于，

所述发送单元，还用于使用 CAPWAP- CONTROL 信道封装所述数据包时，扩展 CAPWAP- CONTROL消息类型，并定义扩展的 CAPWAP- CONTROL 消息类型值为 27〜255中任一整数值；或者扩展 CAPWAP- CONTROL消息元素，并定义扩展的 CAPWAP- CONTROL消息元素类型值为 50~255中任一整数值。

16、如权利要求 14所述的网络，其特征在于，

所述发送单元，具体用于使用已定义的 CAPWAP- CONTROL消息封装所述数据包，并定义 CAPWAP- CONTROL消息的消息元素标识为指定值。

17、如权利要求 13所述的网络设备，其特征在于，还包括：

记录单元， ^于在接收到 AC设备发送的认证成功消息之后，记录所述终端设备使用的数据流量信息；

上报单元，用于按照预设周期向所述 AC设备上报记录的数据流量信息。

18、如权利要求 10所述的网络设备，其特征在于，所述网络设备为与接入点 AP设备连接且位于 AP设备之后的网络设备，所述发送单元，用于使用隧道协议封装所述数据包；填充所述数据包的源地址为所述 AP设备的地址，以及填充所述数据包的目标地址为 AC设备地址；根据所述目标地址转发所述数据包。

】9、一种包括指令的计算机程序，所述指令在由处理器执行时被设置成使所述处理器执行如权利要求 1 9中任一项所述的方法。

20、一种存储了如权利要求 19所述计算机程序的存储介质。