基于开放漫游的远程工作人员的制作方法-j9九游会真人

基于开放漫游的远程工作人员
1.本技术于2022年1月12日作为pct国际专利申请提交，并要求2021年1月13日提交的序列号为17/148,481美国非临时专利申请的权益和优先权，其全部公开内容通过引用整体并入本文。
技术领域
2.本公开总体上涉及无线网络。


背景技术：

3.在计算机联网(networking)中，无线接入点(ap)是一种联网硬件设备，其允许与wi-fi兼容的客户端设备连接到有线网络和其他客户端设备。ap经常作为独立设备(直接地或经由有线网络间接地)连接到路由器，但它也可以是路由器本身的一个整体组件。无线网络可以为工作人员提供接入以使其在远程位置工作。
4.然而，为这些远程工作人员提供访问并不容易，特别是对中小型企业而言，这些企业的信息技术(it)人员有限，而且经常在虚拟专用网络(vpn)和认证等领域的经验有限。一些现有的j9九游会真人的解决方案依赖于将公司拥有和管理的特定设备部署在员工的家中。这些设备通常价格昂贵，并且需要管理和昂贵的支持。由于这些问题，许多公司未能利用允许工作人员远程工作的好处。
附图说明
5.被并入本公开并构成本公开一部分的附图示出了本公开的各种示例。
6.在附图中：
7.图1a是根据本公开的方面的无线网络环境的框图；
8.图1b是根据本公开的方面的无线网络环境的另一框图；
9.图2a是根据本公开的方面的用于提供远程访问的信令处理的信令或路标图；
10.图2b是根据本公开的方面的用于提供远程访问的信令处理的另一信令或路标图；
11.图3是根据本公开的方面的设备组件的框图；
12.图4是根据本公开的方面的用于提供远程访问的方法的流程图；
13.图5是根据本公开的方面的用于提供远程访问的方法的另一流程图；
14.图6是根据本公开的方面的用于提供远程访问的方法的另一流程图；
15.图7是根据本公开的方面的用于提供远程访问的方法的另一流程图；
16.图8是根据本公开的方面的用于提供远程访问的方法的流程图；
17.图9a是根据本公开的方面的计算设备的框图；
18.图9b是根据本公开的方面的无线设备的框图。
具体实施方式
19.概览
20.提供了一种用于与客户端设备建立vpn的最佳方法。在该方法中，ap可以从客户端设备接收指向开放漫游(openroaming，or)服务集标识符(service set identifier，ssid)的访问请求。ap可以将该访问请求发送到or连接器。响应于该访问请求，ap可以从or连接器接收访问响应。该访问响应可以包括如下属性，该属性表明连接到公司虚拟专用网络(vpn)头端的地址。然后，ap可以使用该属性来建立与公司vpn头端的vpn连接。
21.上述概述和以下描述都仅是示例并且是解释性的，不应被视为限制了所描述和要求保护的本公开的范围。此外，除了那些所描述的特征和/或变化之外，还可以提供多种特征和/或变化。例如，本公开的示例可以针对实现方式中描述的各种特征组合和子组合。
22.示例
23.以下详细描述参照了附图。在可能的情况下，在附图和以下描述中使用相同的附图标记来表示相同或相似的元件。尽管可以描述本公开的(一个或多个)示例，但修改、改编和其他实现方式也是可能的。例如，可以对附图中所示的元素进行替换、添加或修改，并且可以通过对所公开的方法进行替换、重新排序或添加阶段来修改本文描述的方法。因此，以下详细描述并不限制本公开内容。相反，本公开的恰当范围由所附权利要求书限定。
24.远程工作人员j9九游会真人的解决方案可以具有类似的架构。公司可以提供设备(经常是路由器或接入点(ap))，员工将该路由器/ap连接在家庭路由器后面。根据该j9九游会真人的解决方案，在路由器/ap和公司的vpn头端/无线局域网(wlan)控制器(wlc)之间建立vpn。该vpn的配置可以手动完成(由it技术人员或该员工完成)，或者可以通过即插即用(plug and play，pnp)(例如，通过虚拟办公室)完成。人们在家里可能已经有了路由器和ap。因此，本文的各个方面可以利用这些现有设备，并与服务提供商(sp)合作，来提供一种不需要新设备的j9九游会真人的解决方案(在过去是需要新设备的)。
25.本文的多个方面解决了各种问题，允许远程工作人员访问，并提供了各种好处。首先，远程用户必须经过组织的认证。其次，保证远程工作人员和公司之间的流量安全。第三，员工无需进行任何配置更改也是有益的。
26.本文的多个方面提供了对sp中(包括在家庭网关(hgw)或连接到家庭网关的接入设备(ad)中)的开放漫游(or)的支持。开放漫游可以通过dot11(或未来的dot1x标准)提供企业级认证。本文中的实现方式对于公司来说更容易管理，因为这些实现方式不需要为每个客户端建立单独的对等sp连接，而是可以与开放漫游基金会(作为身份提供商)建立一个或几个连接。企业可以基于计费协议或其他安排来选择由哪些sp接收vpn服务。
27.为了确保链接安全，开放漫游可以传递包含vpn设置信息的附加的认证、授权、记帐(authentication，authorization，accounting，aaa)属性。hgw/ad和vpn头端可以注册为开放漫游公钥基础设施(public key infrastructure，pki)的一部分。然后，hgw或ad可以基于(一个或多个)aaa消息提供的信息建立vpn。
28.最初，公司可以针对公司的域向开放漫游基金会提供身份提供商(idp)，然后将开放漫游基金会注册到pki。开放漫游连接器可以使用pki对企业idp进行认证。然后，无线客户端可以使用热点2.0功能来加入与开放漫游兼容的服务集标识符(ssid)。该ssid被配置为进行dot1x认证。当接收到可扩展认证协议(eap)身份时，hgw或ad可以启动与开放漫游连接器的远程认证拨入用户服务(radius)通信。开放漫游连接器可以在hgw/ad上本地实现，或者可以作为独立服务托管在服务提供商(sp)上或云托管。
29.服务提供商(sp)可以在客户的家庭ap上配置启用开放漫游的ssid。通过使用开放漫游连接器作为aaa服务器，该ssid被配置为用于dot1x。开放漫游连接器可以使用eap-身份域来查找企业的aaa服务器，然后可以建立基于传输控制协议(tcp)/用户数据报协议(udp)的radius(radsec)隧道来认证员工的设备。
30.在认证阶段，公司aaa服务器可以提供并发送aaa-cisco-remote-worker-vpn属性，该属性带有vpn头端完全限定域名/互联网协议(fully qualified domain name/internet protocol，fqdn/ip)地址。aaa后端可以授权在vpn头端建立vpn。然后，hgw/ad可以提取该属性，并与vpn头端建立vpn(例如，flexvpn)连接。
31.为了建立vpn，sp hgw/ad可以使用其开放漫游证书。企业vpn头端和hgw/ad可以使用开放漫游pki进行相互认证。在建立vpn之后，常规家庭设备流量可以从vpn中分离出来，允许两种类型的流量共存，并且在建立vpn期间，本地家庭资源保持可访问性。
32.架构实现方式允许hgw建立vpn。替代性实现方式可以在接入设备(ad)中实现，hgw与ad之间的安全可由sp管理。这种配置可以减轻sp的部署工作和管理工作。在该实现方式中，ad设备可以托管开放漫游连接器，或者将开放漫游连接器用作托管在sp处或云中的独立服务。
33.vpn也可以在ad级别建立(可被卸载到路由器)。在这种架构实现方式中，aaa覆盖功能(aaa-override feature)可以将客户端移动到专用的虚拟局域网(vlan)，以允许流量路由和隔离(正常的家庭ssid流量不得通过vpn)。
34.公司经常需要为远程工作的员工提供快速的远程工作j9九游会真人的解决方案。当前的安全j9九游会真人的解决方案难以建立且成本高昂，这可能会阻碍小型企业的发展。在本文的多个方面中，重复使用员工家中已有的设备：经常由其sp管理的家庭路由器和ap。然而，这些设备被以新的方式使用。sp可以实现开放漫游(在家庭路由器上或在数字用户线路接入多路复用器(dslam)级别上)。公司向开放漫游基金会注册开放漫游idp(aaa服务器)。然后，员工可以加入开放漫游ssid，并使用其公司凭证向该公司的idp认证其自身。然后，可以通过使用idp信息和开放漫游pki(服务提供商和公司的idp证书)来建立flexvpn。
35.无线环境100的实现方式可以如图1a和图1b所示。无线环境100可以包括以下各项中的一项或多项但不限于以下各项：员工计算系统(例如，员工膝上型电脑102)、sp(可以是路由器和/或ap 104)、数字用户线路接入多路复用器(也称为ad)106、以及云108内的一个或多个系统。云108内的系统可以包括以下各项中的一项或多项但不限于以下各项：开放漫游连接器110、开放漫游服务器112、公司aaa服务器114和/或公司vpn头端116。这一个或多个系统102至116可以是结合图9b所描述的无线设备930。此外，这些系统还可以是结合图9a所描述的计算系统600。
36.无线环境100可以包括wlan，该wlan可以被称为wlan 100、网络100、无线环境100等，并且该wlan可以包括一个或多个ap 104。无线环境100仅示出单个ap 104，但是无线环境100可以包括两个或更多个ap 104。ap 104可以彼此通信，以协同地进行操作。
37.ap 104可以经由信号118与一个或多个客户端102通信，这些客户端102也可以简称为设备102。客户端102可以物理地分散在wlan 100的ap 104所覆盖的物理区域上。客户端102和ap 104可以是结合图9b所描述的无线设备，也可以是结合图9a所描述的计算系统。网络100可以由控制器(未示出)控制，例如wlc、网络控制器等。控制器可以是计算机系统、
无线设备和/或另一设备，如结合图9a和图9b所描述的。
38.如上所述以及如图1a和图1b所示，无线网络100可以包括可被配置为支持无线(例如，wi-fi)网络100的wi-fi ap 104。ap 104可以包括一个物理位置，在该物理位置处，操作客户端102的用户可使用wi-fi技术通过使用连接到服务提供商的路由器的wlan获得对无线网络100的访问(例如，互联网访问)。
39.在本公开的另外的(一个或多个)示例中，可以使用可连接到蜂窝网络的设备，而不是ap 104，这些设备可以直接与最终使用设备(例如，客户端102设备)进行无线通信，以提供对无线网络100的访问(例如，互联网访问)。例如，这些设备可以包括但不限于enodeb(enb)或gnodeb(gnb)。上述蜂窝网络可以包括但不限于由服务提供商运营的长期演进(lte)宽带蜂窝网络、第四代(4g)宽带蜂窝网络或第五代(5g)宽带蜂窝网络。尽管如此，本公开的示例可以使用无线通信协议，例如使用wi-fi技术、蜂窝网络或任何其他类型的无线通信。
40.客户端设备104可以包括但不限于电话、智能手机、数码相机、平板设备、膝上型计算机、个人计算机、移动设备、传感器、物联网(iots)设备、蜂窝基站、电话、远程控制设备、机顶盒、数字视频记录器、电缆调制解调器、网络计算机、大型机、路由器、或能够访问和使用wi-fi网络或蜂窝网络的任何其他类似的基于微型计算机的设备。
41.ad 106可以是任何能够将用户设备102连接到网络(例如，公司的网络)的计算系统或电路。更一般而言，ad 106可以是如下设备，该设备当被连接时，可提供对某种更大的通信网络(例如，云108)的访问。当在宽带中使用时，ad 106可以包括从局域网(lan)连接120到广域网(wan)所需的用户设备，例如ap 104。ad 106可以包括路由器、调制解调器和电源。在住宅或商业网络中，ad 106可以包括其他ap或交换机。
42.一种类型的ad 106可以包括dslam。dslam 106可以是使用多路复用技术将多个客户数字用户线路(dsl)接口连接到高速数字通信信道的任何网络设备。dslam 106可以从许多调制解调器端口收集数据，并经由多路复用将数据流量聚集成一个复杂的复合“信号”。根据实现方式的类型，dslam可以通过异步传输模式(atm)、帧中继和/或互联网协议(ip)网络聚集dsl线路。然后，聚集的流量(信号122和/或128a、128b)可通过接入网(access network，an)(也称为网络服务提供商(nsp))指向骨干交换机(backbone switch)。
43.dslam 106可以像网络交换机一样工作。dslam可能不会在多个ip网络之间重新路由流量，而是在互联网服务提供商(isp)设备和最终用户连接点之间重新路由流量。dslam的流量可以被切换到宽带远程接入服务器，然后，在该服务器处，最终用户的流量被跨过网络路由到互联网。与dslam接口的用户驻地设备(customer-premises equipment)可以利用dslam 106支持的增强型信令功能以及带宽监视和补偿功能。
44.开放漫游服务可以包括开放漫游服务器112和/或开放漫游连接器110。开放漫游是一项漫游联盟服务，可在全球范围内实现自动、安全的wi-fi体验。虽然本文使用的是开放漫游(openroaming)，但任何开放漫游联盟都可用于本文的方法和系统中。开放漫游可以为无线生态系统中的组织提供开放的连通性框架。开放漫游揭露了网络和身份提供商的联盟，允许用户加入由联盟成员管理的任何网络。加入开放漫游的公司允许彼此之间的互操作，以提供自动、安全连接的wi-fi体验。开放漫游可以管理pki注册、互连技术、集中式策略和全局标识符、无线远程接入(wra)j9九游会真人的合作伙伴wi-fi网络id(wraid)、无线漫游中间交换
(wrix)标准等。启用开放漫游的网络可以利用诸如运营商、云id、忠诚度会员之类的已建立的身份提供商，自动安全地搭载用户，在wi-fi和蜂窝网络之间架起桥梁。
45.开放漫游服务器112可以是如下文所述的计算系统。开放漫游连接器110可以是在信号124中与开放漫游服务器112接口的服务或设备，和/或在信号126中可以是与企业系统(例如，公司aaa服务器114)通信的实例。
46.公司aaa服务器114可以是提供网络接入的计算系统。公司aaa服务器114可以使用一个或多个网络协议来进行操作，例如radius协议和直径对应协议(diameter counterpart protocol)。在一些实现方式中，公司aaa服务器114可以提供互联网协议(ip)功能以支持认证、授权和计费的功能。
47.公司vpn头端116也可以是提供对vpn的访问的计算系统或服务。vpn可以在公共网络上扩展专用网络，并使用户能够在共享网络或公共网络上以信号130发送和接收数据，就像他们的计算设备直接连接到专用网络一样。因此，在vpn上运行的应用可以受益于专用网络的功能、安全性和管理。加密是常见的vpn连接的一部分。vpn可以允许使用其他协议的ip安全性(ipsec)隧道。vpn可以将多个框架组合成一组易于理解的公共语言基础设施(cli)/应用编程接口(api)命令，以帮助设置远程访问、站点到站点和vpn拓扑结构。
48.无线网络100的上述元件(例如，wlc、ap 104、客户端设备102、ad 106、or连接器110，or服务器112、aaa服务器114、vpn头端116等)可以在硬件、软件(包括固件、驻留软件、微代码等)、硬件和软件的组合、或任何其他电路或系统中实现。无线网络100的元件可在由分立电子元件组成的电路、包含逻辑门的封装或集成电子芯片(例如，专用集成电路(asic)、现场可编程门阵列(fpga)、片上系统(soc)等)、利用微处理器的电路或包含电子元件或微处理器的单个芯片中实践。此外，无线网络100的元件还可以使用能够执行诸如与(and)、或(or)和非(not)之类的逻辑运算的其他技术来实现，包括但不限于机械、光学、流体和量子技术。下文将关于图9a和图9b进行更详细的描述，无线网络100的元件可以在计算设备900和/或无线设备930中实践。
49.与一个或多个设备、系统、服务器等102-116中的任一者相关联的用于进行本文所包含的操作的组件300的实现方式可以如图3所示。组件300可以是图9a中所示的计算系统900的一部分或作为计算系统900的一部分执行。这些组件300可以包括以下各项中的一项或多项但不限于以下各项：开放漫游接口302、ad接口304、ap接口306、安全模块308、客户端接口310、vpn配置器312、企业接口314、和/或安全数据316。这些模块中的每个模块都可以作为软件由计算系统900执行。在其他实现方式中，一个或多个组件300可以是硬件，或者可以是硬件和软件的组合。在其他实现方式中，组件300可以表示asic、fpga、soc或一些其他类型的硬件实施方式中的门。
50.开放漫游接口302可操作来与开放漫游服务器112和/或开放漫游连接器110接口连接。开放漫游接口302可以基于开放漫游标准所要求的标准与开放漫游组件110、112交换信息或数据。开放漫游接口可以集成在dslam 106、ap 104或另一设备中。此外，公司aaa服务器114还可以包括开放漫游接口302，以与开放漫游连接器110通信。
51.ad接口304可以包括任何进程或系统，以实现与ad 106的通信。ad 106可以是dslam 106。ad接口304可以被包括在公司vpn头端116、开放漫游连接器110和/或员工膝上型计算机102中。此外，ap 104还可以包括ad接口304。ad接口304可操作以与ad 106交换通
106。公司系统可以向开放漫游连接器110提供hgw vpn信息。在其他实施方式中，员工设备102可以提供hgw 104或ad 106信息。该信息允许aaa服务器114将vpn信息传递到客户端102，以与公司vpn头端116建立vpn。
62.现在参考图5至图8，这些图提供了用于使用开放漫游系统112针对vpn配置对用户进行认证的方法500、600、700和800的实现方式。方法500、600、700和800可以以开始操作开始，并且可以以结束操作结束。方法500、600、700和800可以包括更多或更少的阶段，或可以以不同于图5、图6、图7、图8所示的方式安排阶段的顺序。方法500、600、700和800可以作为一组计算机可执行指令来执行，这些指令由计算机系统或处理组件执行，并且被编码或存储在存储介质上。此外，方法500、600、700和800可以由asic、fpga、soc或其他类型的硬件设备中的门或其他硬件设备或组件来执行。在下文中，将参考本文所描述的系统、组件、模块、软件、数据结构等来解释方法500、600、700和800。不同的图可以与图1a和图1b中的不同系统相关联。例如，图5适用于由sp 104和/或雇员计算系统102进行的操作。图6适用于ad 106。图7适用于开放漫游连接器110和/或开放漫游系统112。最后，图8中的方法800与公司aaa服务器114或公司vpn头端116相关联。根据本公开的多个方面，将结合图3的组件、图1a和1b的系统和/或图2a和2b的信令图来解释方法500-800。
63.在阶段502中，sp 104在客户端的家庭ap 104上配置启用开放漫游的ssid。ssid是特定网络的唯一标识符。ssid可以是数字、字母数字、全局唯一标识符(guid)、互联网协议(ip)地址等。客户端的家庭ap 104上的ssid被启用，以用于dot11/1x认证。dot1x/dot11是一种快速、安全和可靠的wi-fi服务，该服务允许网络连通性。可以向无线客户端102提供登录凭证。这些凭证可以允许登录到dot1x/dot11。此外，ssid被配置为使得开放漫游连接器110被指示为用于客户端102的aaa服务器。因此，当尝试认证时，客户端102联系开放漫游连接器110。
64.此配置允许无线客户端向开放漫游系统和/或企业系统的认证。为了连接到ap 104，无线客户端102可以利用信号202扫描ap 104。ap 104可以从ap 104向无线客户端102发送一个或多个信标204。信标204可以包括用于与ap 104连接的信息。此外，这些信标可以包括用于ap 104的开放漫游兼容的ssid。以这种方式，无线客户端102可以接收关于如何连接到开放漫游ssid的信息。
65.客户端102然后可以向ap 104发送dot11/1x认证请求206。该请求206可以被发送到信标204中提供的ssid。ap 104可以利用可扩展认证协议(eap)请求的信号208进行响应。该eap请求208可以请求无线客户端102的身份。然后，客户端102可以在信号210中发送带有无线客户端102的身份的eap响应。身份信息可以包括任何种类的认证信息，例如，电子邮件地址、用户名、密码等。ap 104的客户端接口310可以接收eap响应。
66.然后，ap 104可以在阶段504中向开放漫游连接器110(见图1a和图2a)或ad 106(见图1b和图2b)发送访问请求，该访问请求包括从客户端接收的身份信息。该请求可以包括从无线客户端102接收到的eap-身份。ad接口304可以向ad 106发送访问请求212b。在其他实现方式中，ap 104的开放漫游接口302可以将带有身份的访问请求212a直接发送到开放漫游(or)连接器110。
67.如果在系统中提供了ad 106，如图1b所示，则ad 106可以在阶段602中接收信号212b中的访问请求。如果没有ad 106，如图1a所示，则访问请求212a可由or连接器110接收。
or连接器110的ap接口306可以接收信号212。在阶段604，ad 106可以向or连接器110发送访问请求212c。因此，如图2b所示，ad 106可以将访问请求从ap 104中继到or连接器110。
68.在阶段702中，or连接器110可以接收信号212中的访问请求。在实现方式中，or连接器110的客户端接口310或ap接口306可以接收访问请求212。在其他实现方式中，or连接器110的ad接口304从ad106接收访问请求212c。无论哪个组件102、106发送访问请求212，or连接器110都可以接收带有eap-身份的请求212，以及对vpn连接请求。
69.or连接器110然后可以在阶段704中从or服务器112的or域名系统请求idp。or连接器110可以将带有idp请求的消息214发送到or域名系统(dns)112。idp请求可以在请求中包含ssid或vpn信息，以确定要向其进行认证的企业。
70.在阶段804，or dns112可以从or连接器110接收对idp的请求。or dns系统112的or接口302可以从or连接器110接收信号214。在阶段806，该idp请求可以由dns处理，并且or dns112可以向or连接器110发送idp互联网协议消息216。or dns112的or接口302可以将信号216发送回or连接器110，该信号带有关于idp 114(也称为公司aaa服务器114)的ip地址的信息，以建立radsec隧道。or连接器110可以接收idp ip的消息。在阶段706，or连接器110可以接收idp ip连接。在此，or连接器110可以接收带有企业的idp的ip地址的信号216。
71.然后，在阶段708，or连接器110可以请求与idp建立radsec隧道。or连接器110可以在信号218中向idp 114发送radsec建立消息。or连接器110的企业接口314可以将消息发送到公司aaa服务器114的idp。在阶段808，公司aaa服务器114可以接收对于与or连接器110建立radsec隧道的请求。在此，idp 114的or接口302可以接收信号218。信号218可以请求建立radsec隧道，以交换认证用户设备102所需的安全信息、密钥和其他此类安全数据。idp 114的or接口302可以发送响应220。因此，通过发送信号220，idp 114可以在阶段810中与or连接器110建立radsec隧道。在返回响应消息220时，在开放漫游连接器110和公司aaa服务器114之间就建立了radsec隧道126。在阶段710，or连接器110可以接收信号220并帮助与idp建立radsec隧道。
72.然后，在阶段712，or连接器110可以向idp 114发送访问请求信号222。or连接器110可以向idp 114发送带有访问请求和无线客户端102的身份信息的信号222。企业接口314可以建立带有身份和其他信息的消息，以发送到idp 114。在阶段812，idp 114可以从or连接器110接收访问请求。idp 114的or接口302可以接收访问请求222。访问请求222可以包括来自ap 104或ad 106发送的信号212的信息。然后，idp 114可以认证用户并确定用户是否可以访问vpn。
73.在阶段814，idp 114首先可以确认接收到访问请求222。在信号224中，idp 114可以将访问请求的确认发送回or连接器110。or接口302可以发送消息以确认访问请求并指示idp 114正在认证用户。在认证之后，在阶段816中，idp 114可以发送访问响应。idp 114的or接口302可以将访问响应消息226发送回or连接器110。访问响应226可以包括在对用户进行认证后接受访问请求，并包括用户用来与企业vpn 116建立vpn连接的vpn信息。vpn信息可以包括来自aaa服务器114的响应中的属性。该属性可以包括vpn头端116的fqdn/ip地址。通过发送响应，aaa服务器114还可以对与vpn头端116的连接进行授权，并授权建立与vpn头端116的vpn。以这种方式，可以在客户端102和vpn头端116之间建立vpn。
74.在阶段714，or连接器110可以接收对访问请求的确认，然后等待访问响应。此后，
在阶段716中，or连接器110可以接收访问响应226。企业接口314可以从idp 114接收信号226。访问响应226可以包括对访问请求和任何vpn信息的接受。
75.在一些实现方式中，idp 114可以拒绝访问请求。在这些情况下，来自idp 114的访问响应可以包括访问请求未被接受的指示。如果访问请求未被接受，则or连接器110可以将该拒绝访问转发到ad 106或ap 104，它们可以将该拒绝发送到无线客户端102以拒绝对vpn的访问。
76.在阶段718中，在从idp 114接收到接受客户端102的连接的访问响应226之后，or连接器110可以将访问响应发送到ad 106或ap 104。在一些实现方式中，or连接器110的ad接口304可以向ad 106发送信号208c，该信号208c包括访问响应和vpn信息。在阶段606，ad 106可以接收响应。因此，ad 106的or接口302可以接收访问响应消息228c。然后，在阶段608，ad 106可以将该访问响应发送到ap 104。在此，ad 106的ap接口306可以将带有访问响应的消息228b发送到ap 104上。因此，ap接口306向ap 104发送消息228b。
77.在阶段506，无论or连接器110的ap接口306向ap 104发送消息228a还是ad 106发送消息228b，ap 104都可以接收访问响应228。在此，ap 104的ad接口304或or接口302可以接收访问响应消息228。访问响应228可以包括关于如何连接到vpn的信息。例如，由aaa服务器114插入到响应中的属性可以由ap 104或ad 106提取，以便提供给客户端102。该属性可以包括客户端用于与vpn头端116连接以建立vpn的fqdn/ip地址。
78.ap可以完成无线客户端102和ap 104之间的任何其他认证或其他交换，这些其他认证或其他交换可以被转发到idp 114或vpn头端116。其他aaa消息可以被提供给dslam 106、sp 104等。此外，为了建立vpn，sp 104可以提供or证书。然后，sp 104和vpn头端116可以使用先前建立的or pki相互认证。因此，vpn头端116和sp 104可以按照idp服务器114和or服务器112交换的pki交换密钥。
79.然后在阶段508，ap可以与客户端一起完成四向握手。握手230可以包括在客户端102和vpn头端116之间建立vpn连接所需的任何信息。这些握手消息可以包括任何类型的认证或设立消息。然后，ap 104可以建立vpn连接。
80.在一些实现方式中，在阶段510中，ap 104可以与公司vpn网络116建立vpn连接。如图1a所示，ap 104可以直接与公司企业的vpn头端116建立vpn连接。该连接绕过ad 106或其他中间系统。如图2a所示，ap 104可以与vpn头端116交换vpn建立信号232。因此，由ap 104接收到的任何vpn流量被直接转发到vpn头端116。ap 104的vpn配置器312可以完成建立信号232中的任何类型的消息，以为客户端102建立vpn。
81.在其他实现方式中，在阶段512中，ap 104可以针对客户端流量与ad 106建立链路。然后，ad 106可以与信号238建立vpn连接。如图1b所示，ap 104可以向dslam 106提供vpn流量。因此，ap 104可将vpn流量提供给互联ad 106，而不是直接将流量提供给公司vpn头端116。因此，如图2b所示，信号234中的从无线客户端102接收的流量可由ap 104作为信号236转发至ad 106。
82.在阶段610，ad 106可以接收信号236并与公司vpn头端116建立vpn连接。ad 106与ap 104一起执行前面描述的功能，以建立与vpn头端116的vpn连接。vpn配置器312可以从ad 106向vpn头端116发送信号240，以建立与vpn头端116的vpn连接。
83.在阶段818，公司服务器的vpn头端116可以与ap 104或ad 106建立vpn连接。在此，
vpn头端116的vpn配置器312可以接收信号232或240，以在ap 104或ad 106之间建立vpn连接。基于信号232或240，公司vpn头端116建立与客户端102的vpn连接。
84.在一些实现方式中，在阶段612，ad 106可以从ap 104接收vlan流量。这里，ad 106可以从ap 104接收vlan流量236。ad 106可以分流不同类型的流量和/或ap 104可以将流量分流到ad 106。然后，vlan流量可沿着vpn连接240被转发到vpn头端116。以这种方式，在阶段614中，在ad 106处接收的vlan流量被通过vpn连接240发送。因此，ad 106充当了vpn任何vlan流量的路由器。
85.在阶段820，vpn 116服务器可以接收针对vpn的流量并将其发送到ad 106或ap 104。因此，无论哪个系统104、106发送vpn流量，vpn头端116都可以接收该vlan流量并通过vpn连接232、240与客户端102通信。
86.图9a示出了计算设备900。如图9a所示，计算设备900可以包括处理单元910和存储器单元915。存储器单元915可以包括软件模块920和数据库925。当在处理单元910上执行时，软件模块920可以执行例如用于确定天线功率输出的过程，如上文关于图1至图8所述的。例如，计算设备900可以为控制器、ap 104、客户端102或其他设备提供操作环境，然而，wlc、ap 104、客户端设备102、ad 106、or连接器110、or服务器112、aaa服务器114、vpn头端116和其他设备可以在其他环境中操作，并且不限于计算设备900。
87.可以使用wi-fi接入点、蜂窝基站、平板设备、移动设备、智能电话、电话、遥控设备、机顶盒、数字视频记录器、线缆调制解调器、个人计算机、网络计算机、大型机、路由器、交换机、服务器集群、类似智能电视的设备、网络存储设备、网络中继设备或者其他类似的基于微计算机的设备来实现计算设备900。计算设备900可包括任何计算机操作环境，例如手持设备、多处理器系统、基于微处理器或者可编程的发送器电子设备、微型计算机、大型计算机，等等。也可以在分布式计算环境中实现计算设备900，其中任务由远程处理设备执行。上述系统和设备是示例，而计算设备900可包括其他系统或设备。
88.图9b示出了通信设备930的实现方式，通信设备930可以实现图1至图7中的以下项中的一项或多项：ap 104、wlc、ap 104、客户端设备102、ad 106、or连接器110、or服务器112、aaa服务器114、vpn头端116等。在各种实现方式中，设备930可以包括逻辑电路。逻辑电路可以包括物理电路，用于执行例如针对图1至图8中的以下项中的一项或多项描述的操作：wlc、ap 104、客户端设备102、ad 106、or连接器110、or服务器112、aaa服务器114、vpn头端116等。如图9b所示，设备930可以包括以下项中的一项或多项但不限于以下项：无线电接口935、基带电路940、和/或计算平台900。
89.设备930可以实现以下项的一些或全部结构和/或操作：图1至图8中的wlc、ap 104、客户端设备102、ad 106、or连接器110、or服务器112、aaa服务器114、vpn头端116等，存储介质，以及在单个计算实体中(例如，完全在单个设备内)的逻辑电路。可替代地，设备930可以使用分布式系统架构来分配部分结构和/或操作，例如客户端-服务器架构、对等架构、主从架构等。
90.无线电接口935也可以包括模拟前端(afe)，可以包括适用于发射和/或接收单载波或多载波调制信号(例如，包括互补码键控(cck)、正交频分复用(ofdm)、和/或单载波频分多址(sc-fdma)符号)的组件或组件组合，但是配置不限于任何特定的过错接口(over-the-error interface)或调制方案。例如，无线电接口935可以包括接收机945和/或发射机
950。无线电接口935可以包括偏置控制器、晶体振荡器和/或一个或多个天线955。在附加或替代配置中，无线电接口935可以根据需要使用振荡器和/或一个或多个滤波器。
91.基带电路940可以与无线电接口935通信，以处理、接收和/或发送信号，并且可包括例如用于将接收的信号下变频的模数转换器(adc)和用于将信号上变频以进行传输的数模转换器(dac)960。此外，基带电路940可以包括基带或物理层(phy)处理电路，用于phy链路层处理各自的接收/发送信号。基带电路940可以包括例如用于mac/数据链路层处理的媒体访问控制(mac)处理电路965。基带电路940可以包括一个存储控制器，用于例如通过一个或多个接口970与mac处理电路965和/或计算平台900通信。
92.在一些配置中，phy处理电路可包括帧构建和/或检测模块，与诸如缓冲存储器之类的附加电路相结合，以构建和/或解构通信帧。替代地或附加地，mac处理电路965可以共享对某些对这些功能的处理，或者独立于phy处理电路执行这些处理。在某些配置中，mac和phy处理可集成到单个电路中。
93.本公开的实施例例如可以实现为计算机过程(方法)、计算系统、或者实现为诸如计算机程序产品或计算机可读介质之类的制造品。计算机程序产品可以是可被计算机系统读取并且编码了用于执行计算机过程的指令的计算机程序的计算机存储介质。计算机程序产品也可以是可被计算系统读取并且编码了用于执行计算机过程的指令的计算机程序的载波上的传播信号。因此，本公开可以体现在硬件和/或软件中(包括固件、常驻软件、微代码，等等)。换句话说，本公开的示例可以采取计算机可使用或计算机可读的存储介质上的计算机程序产品的形式，该介质中体现了计算机可使用或计算机可读的程序代码，供指令执行系统使用或者与之相联系地使用。计算机可使用或计算机可读存储介质可以是任何可包含、存储、传达、传播或传输程序供指令执行系统、装置或设备使用或与之相联系地使用的介质。
94.计算机可使用或计算机可读介质可以例如但不限于是电子的、磁的、光的、电磁的、红外的或半导体的系统、装置、设备或传播介质。更具体的计算机可读介质示例(非穷尽列表)，计算机可读介质可包括以下项：具有一个或多个导线的电连接、便携式计算机盘、随机访问存储器(random access memory，ram)、只读存储器(read-only memory，rom)、可擦除可编程只读存储器(eprom或闪存)、光纤、以及便携式紧凑盘只读存储器(compact disc read-only memory，cd-rom)。计算机可使用或计算机可读介质甚至可以是其上打印有程序的纸或另一种适当介质，因为程序可经由例如对纸或其他介质的光学扫描被电子捕捉，然后在必要时被以适当的方式编译、解释或者以其他方式处理，并随后被存储在计算机存储器中。
95.虽然已描述了本公开的某些示例，但也可能存在其他示例。此外，虽然本公开的示例已被描述为与存储在存储器和其他存储介质中的数据相关联，但数据也可以被存储在其他类型的计算机可读介质上或者被从这些介质中读取，例如辅存储设备，比如硬盘、软盘或cd-rom，来自互联网的载波，或者其他形式的ram或rom。另外，所公开的方法的阶段可以以任何方式被修改，包括通过对阶段进行重排序和/或插入或删除阶段，而不背离本公开。
96.此外，本公开的实施例可以在包括分立电子元件的电路、包含逻辑门的封装或集成电子芯片、利用微处理器的电路中实现，或者在包含电子元件或微处理器的单个芯片上实现。本公开的实施例也可以使用其他能够执行逻辑运算(例如，and、or和not)的技术来实
现，包括但不限于机械、光学、流体和量子技术。此外，本公开的示例可以在通用计算机内或者任何其他电路或系统中实现。
97.本公开的示例可以经由片上系统(system-on-a-chip，soc)实现，其中图1中所示的每个或许多元件可以被集成到单个集成电路上。这样的soc设备可包括一个或多个处理单元、图形单元、通信单元、系统虚拟化单元和各种应用功能，所有这些都可以作为单个集成电路被集成(或者“烧录”)到芯片基板上。当经由soc操作时，本文对于本公开的实施例描述的功能，可以经由与计算设备900的其他组件集成在单个集成电路(芯片)上的专用逻辑来执行。
98.例如，上文参考根据本公开的实施例的方法、系统和计算机程序产品的框图和/或操作图示描述了本公开的示例。框中记载的功能/行为可以不按任何流程图中所示的顺序发生。例如，取决于所涉及的功能/动作，接连示出的两个框实际上可被基本同时执行，或者这些框有时可按相反顺序被执行。
99.虽然本说明书包括示例，但本公开的范围由所附权利要求表明。此外，虽然已经用结构特征和/或方法动作特定的语言描述了本说明书，但权利要求并不限于上文描述的特征或动作。更确切地说，上文描述的具体特征和动作是作为实现本公开的实施例的示例被公开的。