虚拟局域网(VLAN)是不一定位于同一物理网段，但共享同一网络号的两个或更多个节点的逻辑组合。大的网络或园区网可以包含多个提供等同服务的VLAN。例如，园区网可以包含多个语音VLAN。当节点从其归属子网漫游到外部子网时，需要适当地路由去往和来自该节点的消息。
标准移动IP仅支持IP应用的无缝子网移动性。但是，标准移动IP当前未被广泛使用，这主要因为它未得到现有的传统(即Microsoft)TCP/IP协议栈的广泛支持。此外，标准移动IP不支持非IP协议。
因此存在对如下解决方案的需求：该方案实现用于非IP移动节点的无缝子网间移动性。此外，存在对如下解决方案的需求：该方案支持IP协议和非IP协议两者，其中移动节点无需被配置以永久IP地址。
除非另外定义，否则应该使用以下定义。未被定义的术语应该被赋予它们的普通或习惯性含义，如电子和电气工程师学会802.11标准所定义的那样，据此通过参考并入该标准。
802.11——802.11协议和802.11术语由电子和电气工程师学会(IEEE)802.11标准所定义。
802地址——在本文件中，“802地址”是规范的IEEE 48位“以太网”地址。802.11和以太网地址都是802地址。
AP——802.11接入点。
AP子网——AP按每个IP子网而被分组。对于每个AP子网，选出单个子网上下文管理器(SCM)。AP和SCM利用标准的VLAN中继机制向属于不同子网的MN提供接入。
CCM——校园上下文管理器，即发布用于移动节点的外地代理和归属代理的安全性证书的中央上下文管理器。移动以太网代理利用校园上下文管理器验证并建立分离的私密密钥。校园上下文管理器被外地代理和归属代理用于建立彼此共享的私密密钥。MN的“归属VLAN绑定”被存储在用于“园区网”的CCM中，并在MN漫游时按照需要被分发。CCM充当SCM和AP的“验证者”和密钥分发中心(KDC)。
园区网——“园区网”是聚集的“无缝漫游域”，其暗示地理位置。园区网可以包括一个或多个802.11扩展服务集，其中扩展服务集由服务集标识符(SSID)标识，如IEEE 802.11规范所定义的。
CH——对端主机。主动与MN通信的移动或非移动节点。
FA——外地代理。在本文件中，除非另外明确指出，否则外地代理是移动以太网外地代理。
HA——归属代理。在本文件中，除非另外明确指出，否则归属代理是移动以太网归属代理。
HA网桥——HA网桥与每个移动以太网HA协同定位。HA网桥负责在MN的“归属VLAN”和协同定位的HA之间桥接外地子网上的MN的以太往帧。
归属VLAN绑定——移动以太网MN被绑定到归属子网或“归属VLAN”。“归属VLAN绑定”包括MN的802地址、MN的IP地址(如果存在)、当前SCM/HA的IP地址和“归属VLAN ID”。
HA/FA——经组合的移动以太网归属和外地代理。在简单的实现方式中，HA/FA是SCM中的软件实体。
IGMP——因特网组管理协议。IGMP被用于确定IP多播组成员。
IGMP监听——交换机和AP“监听”在端口上接收到的IGMP消息，以确定必须在端口上发送哪些IP多播地址。
MIP——由因特网工程任务组(IETF)RFC 2002和IETF RFC 3220定义的移动IPv4。
MN——802.11移动节点。
网络接入标识符(NAI)——NAI被用于标识网络区域内的用户。例如joe@cisco.com是典型的NAI。
SCM——子网上下文管理器。单个SCM向每个AP子网提供中心控制点。从MN的角度看，归属SCM是该MN的归属VLAN的SCM，而外地SCM是任意其他“外地子网”上的SCM。SCM/HA是归属SCM和协同定位的移动以太网归属代理。SCM/FA是外地SCM和协同定位的移动以太网外地代理。
无缝漫游——如果MN在无需改变其“归属IP地址”的情况下在不同子网中的AP之间漫游，则称该MN“无缝地”漫游。
SSID——802.11服务集标识符。SSID标识被分组成一个逻辑“服务集”的一组MN，以及向该服务集提供接入的AP。移动以太网针对每个SSID被使能或禁止。SSID被暗自或明确绑定到VLAN ID。默认地，SSID被绑定到本地SCM/HA。SSID可以被明确绑定到远端的“归属SCM/HA”以及远端的归属VLAN。
VLAN——“虚拟LAN”，如IEEE 802.1Q标准所定义的。VLAN标记的帧在VLAN中继链路(trunk link)上被传送。
WLAN——无线LAN。
WLCCP——无线LAN上下文控制协议。在该协议中，中央上下文管理器被用于验证归属代理和外地代理。该协议使用使用在验证步骤期间交换的密钥加密的消息。此外，该协议使外地代理和归属代理能够利用中央上下文管理器在彼此间建立私密密钥。WLCCP被用于缓存并安全地分发归属VLAN绑定和用于MN的其他移动性上下文。WLCCP注册触发移动以太网注册。移动以太网安全性由WLCCP安全性基础设施所辅助。

鉴于上述需求，本发明设想出一种用于园区网上的子网间移动性的方法，所述园区网包括多个通过因特网协议路由器互连的以太网子网，所述方法包括以下步骤：利用移动节点的802媒体访问控制地址将具有802媒体访问控制地址的移动节点在逻辑上绑定到单个的归属子网；存储归属子网绑定，其中所述归属子网绑定在网络中的任何地方都可被访问；由归属子网上的归属代理维护用于移动节点的移动性绑定；以及当移动节点首次漫游到外地子网时发送注册消息，其中所述注册消息包括移动节点的802媒体访问控制地址，并且在外地子网上的隧道端点的因特网协议地址被发送到移动节点的归属子网的归属代理。
在优选实施例中，该方法设想利用802媒体访问控制地址来标识移动性绑定，所述移动性绑定包括移动节点当前位于的外地子网上的隧道端点的因特网协议地址，以及在归属AP子网上的隧道端点的因特网协议地址。所述移动性绑定利用802媒体访问控制地址进行索引。所述外地代理维护用于外地子网上的正在外访的移动节点的移动性绑定，其中用于正在外访的节点的移动性绑定包括移动节点的归属AP子网上的归属代理的因特网协议地址。归属代理截取由归属子网上的路由器和/或对端主机发送的802帧，其中目的地802地址在外地子网上的移动节点上被使能，由归属代理利用因特网协议封装头部来封装被截取的帧，所述因特网协议封装头部具有因特网协议目的地地址，其中因特网协议目的地地址利用常规的因特网协议路由被设置为外地子网上的隧道端点。当单播802地址将外地子网上的移动节点标识给移动节点的归属子网上的归属代理时，归属代理通过使用标准的网桥源学习来重定向在归属子网上发送的802帧。所述外地代理截取由正在外访外地子网的移动节点发送的非因特网协议帧，使用帧的源802地址来定位用于该移动节点的移动性绑定，利用因特网协议封装头部来封装所述非因特网协议帧，其中所述因特网协议封装头部具有带有目的地地址的头部，所述目的地地址被设置为移动节点的归属子网上的归属代理；以及使用常规的因特网协议路由来转发所述帧。通常所述非IP帧是单播802帧或多播802帧。
本发明的另一方面设想所述园区网包括多个接入点，其中每个接入点被配置以至少一个802.11服务集标识符，所述移动节点被配置以一个802.11服务集标识符，这个802.11服务集标识符与至少一个所述接入点的服务集标识符相匹配。每个接入点服务集标识符被绑定到包含默认归属子网和归属虚拟局域网的群组中的一个，至少一个服务集标识符能使能移动以太网，并且由移动节点将至少一个带有其服务集标识符的消息发送到选出的父接入点。当接入点从移动节点接收到消息时，它检查消息的服务集标识符，并启动移动以太网服务。当移动节点首次进入网络时，将移动节点绑定到如下的归属子网：所述归属子网被绑定到移动节点的初始父接入点中的移动节点的服务集标识符。本发明使用动态主机配置协议，动态获得移动节点在移动节点的归属子网中的因特网协议地址。本发明还设想将移动节点绑定到本地归属子网，其中移动节点的父接入点在本地归属子网和移动节点之间桥接第2层动态主机配置协议请求和回复帧。另外，该方法设想将移动节点绑定到远端归属子网，利用因特网协议封装头部来封装动态主机配置协议请求和回复帧，以及在因特网协议隧道上，在移动节点和远端归属子网之间转发动态主机配置协议请求和回复帧，其中因特网协议隧道存在于远端归属子网上的归属代理和位于移动节点的本地外地子网上的隧道端点之间。然后，由归属代理检查在广播动态主机配置协议回复消息的主体中的802媒体访问控制地址，以判断该消息是否被定向到外地子网上的移动节点，并且如果是则定位移动节点的移动性绑定，利用因特网协议封装头部来封装动态主机控制协议消息，以及将所述动态主机控制协议消息转发到由所述移动节点的移动性绑定中的因特网协议地址所标识的隧道端点。
默认归属子网被绑定到随位置变化的单个服务集标识符，从而使归属子网可以被局部化，并且使移动节点可以被绑定到最近的归属子网。在经历预定时间段的不活动之后，丢弃所述移动节点的归属子网绑定。当移动节点在其归属子网绑定已丢弃之后漫游到新的子网时，它被绑定到新的归属子网。
当所述归属子网是由整数虚拟局域网标识符所标识的虚拟局域网时，用于所述移动节点的归属子网绑定还包括所述虚拟局域网标识符。所述归属代理向正在外访外地子网的移动节点提供对多个归属子网绑定提供访问。归属代理检查由移动节点发送的IP和ARP分组中的源因特网协议地址，并将移动节点绑定到与移动节点的因特网协议地址相对应的归属子网。
本发明还设想移动节点被明确分配到归属子网。
另外，优选实施例设想：在网络基础设施内的上下文管理器中存储用于所述移动节点的当前归属子网绑定；当移动节点首次与父接入点相关联时，将上下文请求消息发送到所述上下文管理器，以获取用于所述移动节点的归属子网绑定；以及将上下文响应消息中的用于移动节点的当前归属子网绑定和移动以太网注册状态信息返回到父接入点。如果所述上下文管理器不具有用于移动节点的任意已有的归属子网绑定，则上下文请求消息可以包括用于移动节点的默认归属子网绑定，并且所述默认绑定作为用于移动节点的当前归属子网绑定而被建立。
在广播ARP消息中的目标IP地址标识出外地子网上的移动节点时，归属代理截取具有目标IP地址的所述广播ARP消息，归属代理利用IP封装头部来封装所述广播ARP消息，并将所述经封装的地址解析协议消息转发到所述外地子网上的因特网协议隧道端点。
本发明还设想将正在外访外地子网的移动节点分组成至少一个被隔离的广播区域，其中源自所述归属子网上的第2层多播帧不被外地子网上的本地站点所接收，或者将正在外访外地子网的移动节点分组成至少一个被隔离的广播区域，其中所述正在外访外地子网的移动节点不接收源自所述外地子网上的第2层多播帧。源自所述归属子网上的多播帧利用包含广播区域标识符的第2层封装头部来封装，并将经封装的帧转发到外地子网。
在本发明的另一方面中，设想将由外地子网上的移动节点发送的因特网组管理协议消息中继到本地外地子网上，以将因特网协议多播组的区域扩展到本地外地子网。这还设想：检查由所述移动节点发送的所述因特网组管理协议消息，以确定将被转发到正在外访的移动节点的一组因特网协议多播分组；以及将在所述外地子网上发送的因特网协议多播分组转发到正在外访外地子网的移动节点。
在另一方面中，设想移动以太网外地代理逻辑和因特网协议隧道端点被包含在移动以太网已知的移动节点中。该实施例还设想在低层移动以太网驱动器中隔离所述移动以太网外地代理逻辑，以使移动以太网对更高层协议模块透明。
本发明的另一方面设想所述网络还包括使所述移动节点能够与外部的因特网协议节点通信的网络地址翻译器。所述方法还包括：为所述移动节点分配不可路由的专用因特网协议地址；封装由所述外地子网上的移动节点发送的所有因特网协议帧；以及将所述经封装的帧转发到所述移动节点归属子网；其中去往所述移动节点的任意帧都通过所述网络地址翻译器来路由。另外，所述方法设想将相同的专用因特网协议地址分配给至少两个移动节点，其中移动以太网代理使用802媒体访问控制地址来唯一地标识所述移动节点。
本发明的另一方面设想所述归属子网是由整数虚拟局域网标识符标识的虚拟局域网，所述用于移动节点的归属子网绑定还包括所述虚拟局域网标识符。所述方法还包括当所述移动节点的归属虚拟局域网在被链接到所述移动节点的父接入点的虚拟局域网中继线上被使能时，利用第2层桥接在所述移动节点和所述移动节点的归属虚拟局域网之间中继帧，以及当所述移动节点的归属虚拟局域网没有在被链接到所述移动节点的父接入点的虚拟局域网中继线上被使能时，使用因特网协议隧道在所述移动节点和所述移动节点的归属虚拟局域网之间中继帧。该方面还设想如果包含在所述移动节点的当前归属子网绑定中的虚拟局域网标识与在被链接到所述移动节点的父接入点的中继线上被使能的虚拟局域网标识相匹配，则自动使用第2层桥接来访问所述移动节点的归属虚拟局域网。
本发明的另一方面设想如果所述归属代理丢失，则利用选择协议和新的归属代理来自动建立用于每个归属子网的归属代理。
本发明的另一方面设想将用于每个归属子网的每个归属代理注册到中央上下文管理器。该方法还包括当为一个归属子网选出新的归属代理时由所述中央上下文管理器告知外地子网上的移动以太网代理，以使外地代理将移动节点重新注册到所述新的归属代理。
本发明的另一方面设想所述方法利用公共的上下文管理器来验证具有移动以太网移动性代理的每个节点，在具有移动以太网移动性代理的每个节点和所述公共的上下文管理器之间建立分离的私密密钥，由公共的上下文管理器发布用于移动节点的外地代理和归属代理的安全性证书，以及利用公共的上下文管理器在外地代理和归属代理之间建立共享的私密密钥，其中共享的私密密钥被用于验证由外地代理和归属代理交换的消息。
本发明设想对标准移动IP作了重要扩展，所述扩展包括以下几方面：
-802地址而不是IP地址被用作永久MN标识符，
-封装并通过IP隧道来发送以太网帧；因此，移动以太网可以为非IPv4协议(例如IPv6)提供无缝的移动性。
-单个移动以太网HA可以提供对多个“归属VLAN”的访问。
-缺省地，用于MN的归属VLAN绑定被动态建立。
-在网络基础设施中的“代理MN”为移动以太网未知的MN提供代理注册服务。
-代理MN/HA安全性关系按照需要被动态建立，并且取代标准移动IP HA/MN的安全性关系。
移动以太网解决了与ARP、DHCP、NAT、内部企业防火墙相关的移动性问题，并且支持IP和非IP协议两者。
从以下描述中，本发明技术人员将更容易明了本发明的其他目的，其中仅仅以示出适于实现本发明的最佳模式之一的方式示出并描述了本发明的优选实施例。将会意识到，本发明能够包括其他不同的实施例，并且其若干细节能够在各种明显方面中被修改，所有这些修改都不脱离本发明，因此，附图和以下描述在本质上将被看作示例性性的，而非限制性的。

并入在说明书中并构成说明书一部分的附图示出了本发明的若干方面，并且与说明书一起用于解释本发明的原理。在附图中：
图1是移动以太网组件的框图；
图2是移动以太网数据转发路径的框图；以及
图3是分层网络体系结构的框图。

贯穿本说明书，示出的优选实施例和示例应该被看作本发明的示例，而非本发明的限制。
首先参考图3，示出了典型的分层网络300。校园上下文管理器(CCM)302发布用于移动节点的外地代理和归属代理的安全性证书。移动以太网代理利用CCM 302来验证和建立分离的私密密钥。CCM 302被外地代理和归属代理用于建立彼此共享的私密密钥。MN的“归属VLAN绑定”被存储在“园区网”的CCM 302中，并在MN漫游时按照需要被分发。CCM 302充当SCM和AP的“验证者”和密钥分发中心(KDC)。网络300具有两个本地控制区域，其中每个区域都具有本地上下文管理器，即用于第一区域的LCM 304和用于第二区域的LCM 306。LCM 304的下面有两个子网上下文管理器(SCM)308和310。而在LCM306下面只有一个SCM 312。子网控制区域包括与各自的SCM位于同一子网的所有AP以及直接或间接与这些AP相关联的任意客户端站点。例如，它包括与那些AP相关联的任意MN，即使一个MN经由VLAN中继或MIP隧道被分派到网络层上的不同子网也会如此。它还包括被附接到辅LAN的任意EN，所述辅LAN被桥接到主LAN。对于每个AP子网，由单个SCM提供中央控制点。从MN的角度来看，归属SCM是MN的归属VLAN的SCM，而外地SCM是在任意其他“外地子网”上的SCM。SCM/HA是归属SCM和协同定位的移动以太网归属代理。SCM/FA是外地SCM和协同定位的移动以太网外地代理。
SCM 308有两个AP 314和316。MN 322被示出连接到AP 314。SCM 310有一个AP 318。AP 318被连接到工作组网桥324，该工作组网桥324有两个增强型节点326和328。具有SCM 312的LCM 306只有一个AP 320，但是，AP 320被连接到AP 330和AP 332，并且移动节点334和336当前附接到AP 332。
应该注意，网络300中的某些组件可能被组合或可能并不需要。对于更小的网络，LCM 304和306可能不是必需的，从而SCM 308、310和312可以直接与CCM 302通信。
本发明设想到用于实现移动以太网的若干组件。
移动以太网的“归属代理”(HA)和“外地代理”(FA)为外地子网上的MN提供IP隧道服务，这很像移动IP的归属和外地代理。默认地，对于每个802.11AP子网，从一组HA/FA候选者中选出单个组合的移动以太网HA/FA。可替换地，可以为每个AP子网配置多个移动以太网HA和FA。
无线LAN上下文控制协议，即WLCCP，被用于缓存和安全地分发用于MN的归属VLAN绑定和其他移动性上下文。WLCCP注册触发移动以太网注册。例如图3中的示例所示出的，移动以太网的安全性被WLCCP的安全性基础设施所辅助，但是，任意使移动以太网代理能够安全通信的安全基础设施都是可接受的。
用于每个AP子网的默认移动以太网HA/FA被与用于每个AP子网的活动子网上下文管理器(SCM)协同定位。“SCM/HA”指的是“归属”SCM和协同定位的HA。同样，“SCMA/FA”指的是“外地”SCM和协同定位的FA。
移动节点(MN)可以无缝地漫游穿过IP子网边界。用于MN的永久移动以太网标识符是一个48位的802地址。[以太网和802.11都是用48位的802地址。]对于园区网中的MN的一个子集，可以有选择地使能移动以太网。这里，除非另外明确指出，否则假设移动以太网是对MN使能的。
代理移动节点软件实体存在于每个AP子网的802.11AP和SCM中。移动以太网MN软件实体也可以存在于移动主机的网络协议栈下面。移动以太网MN软件对更高层协议和应用是透明的。
移动以太网注册协议被用于将MN注册到其HA并建立IP隧道。移动以太网注册协议与定义在RFC 2002和RFC 3220(移动IP)中的移动IP注册协议一致。“外地”SCM(F-SCM)中的代理MN实体为外地子网上的移动以太网未知的移动台提供代理移动以太网注册服务。
“转发IP隧道”被用于以隧道传送源自归属VLAN上的IP分组和802帧，以使它们从HA“流出”到外地802子网上的FA。“反向IP隧道”(RFC 2344)被用于以隧道传送(即非IP)802帧，以使802帧从外地子网上的FA或父AP的代理MN“流入”到HA，以用于在归属VLAN上进行传递。[父AP可以只终止用于“代理”MN的反向隧道。]
HA存在于逻辑HA网桥端口之上，所述逻辑HA网桥端口可以是VLAN中继端口。外地子网上的MN的以太网地址在HA网桥端口上被静态使能。HA网桥端口包括DHCP过滤器和ARP过滤器。任意在本地AP子网中的AP上被使能的VLAN ID也都必须在HA网桥端口上被使能。
每个活动SCM及其已注册的后代AP都属于单个的“AP子网”。
以太网网桥被与移动以太网HA协同定位，以在“归属VLAN”(即经由其他网桥端口)和移动以太网HA网桥端口之间“桥接”802帧。单个移动以太网HA和协同定位的HA网桥端口可以经由VLAN中继提供对多个“归属”VLAN的访问。在一个AP子网的任意AP上使能的任意VLAN也都必须在用于该AP子网的HA网桥端口上被使能。
现在参考图1，示出了具有移动以太网组件的典型网络拓扑100。在网络的分层拓扑的顶端是校园上下文管理器(CCM)104。该CCM被连接到包含归属VLAN绑定的数据存储单元106。在所示网络100中，存在两个SCM，其中第一个是归属SCM 108，另一个是外地SCM 110。WLCCP通信被用于分别沿路径112和114在SCM 108和110与CCM 104之间的通信。在CCM 104、归属SCM 108和外地SCM 110之间的通信发生在校园IP网络102上。
归属SCM 108包括归属代理(HA)120、ARP过滤器122、HA网桥124和用于移动性绑定的数据存储126。HA网桥124被连接到归属VLAN1 136和归属VLAN2 140。CH 140被连接到归属VLAN2 138。
外地SCM 110包括FA 130、代理MN 132和移动性绑定134。FA130被连接到外地子网136。外地子网136还被连接到AP 142(代理MN)，而AP 142被连接到MN1 144和MN2 146。MN1 144的归属VLAN是归属VLAN1。MN2146的归属VLAN是归属VLAN2。
如图1所示，HA 120使用前向IP隧道116与FA 130通信。FA使用转发数据链路隧道148与AP 142通信。然后AP 142使用反向IP隧道150与HA通信。
协议概述：
用于MN的永久移动以太网标识符是802(即以太网)地址。因此，MN可以利用DHCP被动态绑定到归属VLAN。
在简单的实现方式中，移动以太网HA/FA作为软件实体存在于活动SCM中。WLCCP“活动SCM选择”协议被用于为每个802.11AP子网选出单个组合的SCM/HA/FA。如果活动SCM/HA/FA失败，则自动选出新的SCM/HA/FA。
每个经组合的SCM和HA/FA都被注册到校园CCM。如果为子网选出新的SCM/HA，CCM则彼此告知已注册的SCM/FA，从而移动以太网MN可以被自动重注册到新的HA。
每个AP子网的SCM/HA充当每个VLAN的归属代理，所述VLAN在其子网中的任意AP上被使能。协同定位的“HA网桥端口”利用IEEE802.1Q VLAN中继协议访问“非活动”VLAN。
归属VLAN绑定：
MN被绑定到“归属VLAN”。如果MN与具有到MN的归属VLAN的以太网访问(即经由VLAN中继)的父AP相关联，则表示MN“在归属地”；否则，则表示MN“正在外访”“外地子网”。
如WLCCP规范[2]所描述的，MN一般被绑定到归属VLAN。用于MN的“归属VLAN绑定”包括归属SCM/HA的IP地址和归属VLAN的ID。默认地，当MN最初在园区网中的任何地方关联到AP时，MN被绑定到本地SCM/HA以及用于其SSID的默认本地VLAN ID。
AP SSID可以被明确配置以远端SCM/HA子网的ID，从而MN可以被明确绑定到远端的归属VLAN。[将MN明确绑定到远端归属VLAN的能力使网络管理员能够出于安全性目的而在不具有被使能的VLAN中继的AP上隔离MN。还能够使网络管理员将具有永久IP地址的MN明确绑定到由永久IP地址的子网前缀标识出的归属子网。]DHCP隧道使DHCPMN能够获得远端子网上的IP地址。
MN还可以被绑定到与其源IP地址相对应的归属VLAN。
用于MN的当前归属VLAN绑定被存储在校园CCM中，并且当MN漫游到不同的AP子网时，该归属VLAN绑定可以利用WLCCP注册协议被分发到新的父SCM。新的父“外地”SCM将归属VLAN绑定传输到协同定位的代理MN，以触发移动以太网注册。
在某段时间的非活动之后，用于MN的归属VLAN绑定过期并被丢弃，从而MN可以被动态绑定到更优选的归属VLAN。基于MN的当前IP地址，MN可以被动态重分配到旧的归属VLAN(即，如果MN的归属VLAN绑定被过快丢弃的话)。
外地VLAN绑定：
与外地子网上的AP相关联的MN总是被绑定到外地子网的当地VLAN(native VLAN)的AP。FA利用标准的透明桥接技术，在当地VLAN上转发去往MN的帧。FA利用移动以太网数据链路隧道头部来封装帧，以避免“外地”当地VLAN上的初始源地址的不正确的逆向学习。
移动以太网注册：
在外地子网上的MN利用移动以太网注册协议被注册到用于其归属VLAN的SCM/HA。移动以太网注册在MN的归属VLAN和外地子网之间建立IP转发和反向IP隧道。
[移动以太网注册可以利用对标准移动IPv4注册协议[1]的向后兼容扩展来实现，从而单个HA或FA可以提供对移动以太网的MN和标准移动IP的MN两者的访问。]
如果a)移动以太网被使能用于MN的SSID，b)该MN已经存在归属VLAN绑定，并且c)新的父SCM/HA不具有对MN的当前归属VLAN的访问，那么在新的父SCM中的“代理MN”实体必须将MN注册到用于该MN的归属VLAN的SCM/HA。在新的父SCM中的代理MN向MN的HA发送移动以太网注册请求，以建立用于MN的IP隧道。该注册请求包括SCM/FA IP地址、MN的以太网地址、MN的IP地址(如果存在)、MN的“归属VLAN ID”、MN的SSID和HA/代理MN安全性绑定。[移动以太网安全性在另外部分中论述。]如果MN的归属VLANID为零，MN则被绑定到与其“归属SCM”处的SSID相对应的“归属VLAN”。
HA核实该注册请求，建立用于MN的移动性绑定，并将移动以太网注册回复发送到SCM/FA。SCM/FA在WLCCP注册回复消息中向MN的父AP转发归属VLAN绑定(即HA的IP地址)。
用于MN的HA移动性绑定包括MN的以太网地址、MN的IP地址(如果存在)、MN的VLAN ID、FA的IP地址和用于FA的安全性绑定。HA还在协同定位的HA网桥端口中建立对于MN的移动性绑定。MN的以太网地址在协同定位的以太网网桥的转发表中的HA网桥端口上被静态使能。
帧转发逻辑：
以下以太网帧在为外地子网上的MN建立的IP隧道上被发送：
1)使用对于单播源802地址的移动性绑定，由外地子网上的MN发送的所有帧被转发到MN的HA。
2)使用对于目的地802地址的移动性绑定，在归属VLAN上发送的去往外地子网上的MN的所有单播帧被HA转发到外地子网的SCM/FA。
3)在归属VLAN上发送的去往外地子网上的MN的广播ARP/DHCP帧被转换成单播帧，并像其他单播帧一样被转发。(WLCCP被用于维护用于ARP地址翻译的IP/MAC地址绑定。广播DHCP回复在“chaddr”字段中包含802地址。)
4)IP多播帧利用标准IP多播路由被转发到外地子网上的MN。IGMP被用于建立对于MN的IP组成员。
5)在归属VLAN上发送的选择IP和非IP广播帧可以在转发隧道以及相应的“广播区域”上被可选地发送到外地子网上的MN。
在图2中示出了移动以太网数据帧的转发逻辑。
归属VLAN转发逻辑：
该部分描述帧如何从“归属VLAN”被转发到外地子网上的MN。
源学习(如IEEE 802.1D规范所定义的)被用于将想去往外地子网上的MN的帧重定向到MN的HA。当MN最初被注册到其HA时，协同定位的HA网桥端口在MN的归属VLAN(其具有MN的源802地址)上发送(多个)路径更新帧，以更新网桥、交换机和AP中的转发表。HA网桥端口还将源自外地子网上的MN的数据帧中继到具有MN的源地址的归属VLAN上；从而，源学习机制不易受(多个)路径更新帧丢失的影响。
HA网桥端口具有用于外地子网上每个被绑定到本地归属VLAN的MN的移动性绑定。用于每个MN的绑定包括MN的802地址、MN的IP地址(如果存在)和MN的“归属VLAN”ID。如果HA网桥接收到来自归属VLAN并且想去往外地子网上的MN的802地址的单播帧，它则将该帧转发到协同定位的HA。HA网桥端口还“监听”在归属VLAN上发送的广播ARP请求帧中的目标IP地址。如果目标IP地址与外地子网上的MN的IP地址相匹配，则HA网桥端口用MN的单播802地址覆盖目的地广播802地址，并将所产生的单播ARP请求帧转发到协同定位的HA。HA网桥端口还监听在归属VLAN上发送的DHCP(BOOTP)回复消息中的“chaddr”字段。如果“chaddr”字段中的802地址与外地子网上的MN的802地址相匹配，HA网桥端口则用MN的单播802地址覆盖目的地802地址，并将所产生的单播DHCP回复帧转发到协同定位的HA。
SCM/HA维护用于外地子网上的每个MN的移动性绑定。如上所述，移动性绑定是利用移动以太网注册协议而建立的，并且移动性绑定由各个MN的802地址来索引。当HA接收到来自协同定位的HA网桥端口的单播以太网帧时，它使用被绑定到目的地802单播地址的移动性绑定，以确定用于各个MN的FA。HA将IP/UDP/ME封装头部添加到单播以太网帧，并将所产生的已封装分组转发到FA。
在封装头部中，源和目的地IP地址分别是HA和FA的IP地址(与标准的移动IP相同)。UDP协议端口(直接或间接)将“移动以太网”标识为FA中的软件SAP。ME头部包含移动以太网的软件SAP和MN的VLAN ID，它们在单播帧中可以为零。
当FA接收到经封装的分组时，它去除IP/UDP/ME封装头部，并添加移动以太网数据链路封装头部。在数据链路封装头部中，目的地以太网地址是MN的父AP的802地址，而源以太网地址是FA的地址。然后，FA利用标准的桥接技术在当地AP VLAN上将经封装的单播以太网帧转发到外地子网上的各个MN。父AP接收到帧，去除数据链路封装头部，并将原始帧转发到MN。[数据链路封装头部被用于防止网桥/交换机不正确地学习当地VLAN上的原始源以太网地址。]
外地子网转发逻辑：
该部分描述由外地子网上的MN发送的帧如何被转发。
默认地，所有由外地子网上的MN发送的帧都通过反向IP隧道被转发到MN的归属VLAN，所述反向IP隧道存在于外地子网上的MN的父AP和MN的归属子网上的HA之间。WLCCP的MN注册被用于在本地SCM/FA中以及MN的父AP中建立用于MN的移动以太网移动性绑定。用于MN的AP移动性绑定包括MN的HA的IP地址。当父AP接收到来自“外地MN”的广播/多播或非IP单播帧时，它添加IP/UDP/ME封装头部，并将所产生的已封装分组转发到MN的HA。在封装头部中，源和目的地IP地址分别是AP和HA的IP地址。UDP协议端口(直接或间接)将“移动以太网”标识为HA中的软件SAP。
由外地子网上的MN发送的单播IP帧可以a)在经过IP/UDP/ME封装(如上所述)的情况下被转发到MN的HA，或者b)在无需封装的情况下，利用标准IP转发被转发到相应主机的目标单播IP地址(即利用三角路由)。[NAT和防火墙问题可能要求单播IP帧的反向隧道。]
[作为一个选项，父AP可以将帧从外地MN转发到本地SCM/FA，而不是将帧直接转发到MN的HA。在此情况下，父AP必须添加ME数据链路封装头部，并将经封装的帧发送到SCM/FA的以太网地址。如上所述，FA可以封装帧，并将帧转发到HA。数据链路封装头部被用于选择SCM/FA中的正确FA移动以太网软件SAP。]
当HA接收到来自外地子网上的MN的经IP/UDP/ME封装的帧时，它去除已封装的头部，并将所产生的以太网帧转发到协同定位的HA网桥端口。HA网桥端口从其移动性绑定中确定用于该MN的源以太网地址的“归属VLAN”。HA网桥端口按照需要添加VLAN标签，并将原始以太网帧转发到MN的归属VLAN上。
流出广播转发：
该部分描述用于将广播(或多播)帧从归属VLAN转发到外地子网上的MN的可选方法。
[移动IP定义了一种用于将广播帧传递到外地子网上的MN的(非常低效)的机制。该移动IP机制需要MN中的解封装逻辑；因此，它无法被用于向外地子网上的移动IP未知MN转发广播帧。该部分定义了一种更有效的可选方法，其用于向外地子网上的MN传递广播帧。该方法可用于广播帧和多播帧。但是，如题为“IP多播转发”的部分所描述的，“IP多播”帧可以被更有效地转发。]
与广播帧相关的问题包括：1)在外地子网上的MN不应该接收由该外地子网上的本地站点发送的广播帧。2)在归属VLAN上发送的广播帧(即，除了被转换成单播帧的广播ARP和DHCP帧之外的广播帧)必须利用防止其它子网上的站点接收到这些广播帧的机制被转发到外地子网上的MN。
对于外地子网上的一组MN，动态地创建移动以太网“广播区域”。1)默认地，不需要接收广播帧的外地MN(即常见情况)被分组成单个的广播区域。2)不需要接收广播帧的外地MN按照每个归属VLAN的广播区域被分组。利用整数广播区域ID来标识广播区域。
可选地，HA可以通过转发IP隧道，将在归属子网上发送的广播(或多播)帧转发到外地子网上的MN。HA必须维护对于每个归属VLAN的“活动FA”的列表，以防止“无用的”广播转发。如果当前有至少一个绑定到归属VLAN的MN经由一个FA被注册，则认为该FA在归属VLAN上是活动的。HA可以将“合格的”广播帧的单个拷贝传递到每个活动FA。HA必须在将帧转发到活动FA之前，利用IP/UDP/ME封装头部来封装广播帧。ME头部必须包含归属VLAN的ID。归属VLAN的ID被用于选择外地子网上的广播区域。
必须被转发到外地子网上的“合格的”广播帧的集合可以通过用户配置的附接于HA网桥端口的广播入口帧过滤器来限定。例如，过滤器可以被用于限制在归属IPv6 VLAN上发送的IPv6路由器广告的广播转发。
移动以太网FA必须将广播帧从MN的归属VLAN转发到其外地子网上。FA必须维护广播区域表，该广播区域表将每个活动HA/归属VLANID对映射到动态创建的广播区域。当FA接收到来自HA的经封装的广播帧时，它必须在与包含在IP/UDP/ME封装头部中的HA和归属VLAN ID相对应的广播区域上将帧转发到其外地子网上。
站点被防止不正确地接收在外地子网上发送的广播帧。在以太网链路和802.11AP到AP链路上，ME数据链路头部被用于隔离每个广播区域中的帧。数据链路头部包含“所有AP”多播目的地以太网地址和用于各个广播区域的和广播区域ID。在将广播帧转发到其本地BSS中的相关外地MN之前，父AP必须去除ME数据链路头部。父AP使用对于每个活动移动以太网广播区域和本地VLAN分离的802.11广播加密密钥的集合将帧发送到其本地BSS。
IP多播转发：
在企业园区网中，标准的IP多播路由一般可以被用于向外地子网上的MN转发IP多播分组。IGMP被用于确定IP多播组的成员；因此，当MN首次漫游到新的子网时，它必须发送IGMP报告以指示组成员。IGMP一般询问可以被发送到MN以请求必要的IGMP报告。
如上对于广播帧转发所描述的，如果在园区网中禁止多播路由，IP多播分组则可以使用IP隧道和广播区域被转发。
VLAN考虑因素：
如上所述，在任意AP上被使能的任意VLAN都必须也在用于AP子网的HA网桥端口上被使能。但是，在AP子网中被使能的VLAN的集合会依赖于AP而变化。例如，VLAN 10可能在第一AP上被使能，而在第二AP上不被使能。[注意，AP当地VLAN ID必须在第一和第二AP以HA网桥端口上都被使能。]被绑定到VLAN 10的MN在其与第一AP相关联时表示它“在归属地”，而在其与第二AP相关联时表示它“正在外访”。用于MN的“归属SCM”可以是其中MN的归属VLAN在与其协同定位的HA网桥端口上被使能的任意SCM。例如，用于VLAN 10的归属SCM可以是用于第一和第二AP的AP子网的本地SCM。
去往正在外访的MN的帧必须在MN的“归属VLAN”和外地子网之间以隧道传送，即使“归属SCM”和MN的父AP位于同一“AP子网”也是如此。在此情况下，帧被以隧道传送，从HA流出到位于MN的父AP中的隧道端点。[注意，所述帧不能以隧道流出到FA。]如[2]中所指定的，对于每个MN的活动父AP利用WLCCP注册被注册到SCM/HA。因此，SCM/HA总是可以确定与AP子网上的AP相关联的任意MN的当前父AP。
可能希望获得以下效果：经由AP当地VLAN上的以太网桥接，将去往/来自归属VLAN的帧“以隧道传输”到位于同一AP子网上的正在外访的MN。
IPv6移动性：
IPv6节点使用邻居发现协议而不是ARP来获取对于相应节点的IPv6/MAC地址绑定。为了支持IPv6移动性，多播IPv6邻居请求消息必须被翻译成单播以太往帧，并被转发到外地子网上的MN。HA网桥端口必须维护用于外地子网上的MN的IPv6/MAC地址绑定，以翻译邻居请求消息。HA网桥端口必须接收以太网多播帧，其中目的地802多播地址是从IPv6接口地址导出的。
IPv6节点监听路由器广告消息，以“发现”用于其归属子网的路由器和网络参数。HA网桥端口必须有选择地将来自IPv6“归属VLAN”的路由器广告消息转发到外地子网上的MN。多播路由器广告必须在分离的“广播区域”(参见上文)中在外地子网上被转发，或者必须将分离的拷贝单播到被绑定到源归属VLAN的每个MN。
移动以太网安全性：
与标准的移动IP相同，可以为移动以太网的HA和代理MN配置静态安全性证书；但是，静态证书需要相当多的用户配置。在本部分所描述的方法可以被用于动态建立移动以太网安全性证书，从而无需附加的安全性配置来支持移动以太网。
移动以太网安全性基于存在于园区网中的基础信任层次，其中每个AP和SCM都已动态建立与校园CCM之间的信任关系。WLCCP是一种用于动态建立用于园区网中的任意两个WLCCP节点的相互验证和共享私密密钥的方法。
移动以太网安全性假设受信的父AP和网络基础设施负责验证MN。因此，移动以太网注册验证只要求由被经授权的ME代理MN、FA和HA生成注册请求和回复消息。
代理MN/HA验证扩展保护移动以太网注册请求和回复消息。验证扩展包括利用私密密钥生成的消息完整性校验(MIC)，所述私密密钥由归属VLAN的HA和外地子网上的FA共享。当MN首次漫游到各自的外地子网时，共享的私密密钥和Kerberos型“移动以太网凭证”由校园CCM(或本地上下文管理器)自动生成，并以WLCCP消息被传递到本地SCM/FA。(不一定要在MN每次漫游到外地子网时都生成密钥和凭证。)所述凭证包含共享的私密密钥，并利用由CCM和HA共享的密钥而被加密。
移动以太网凭证被包括在移动以太网注册请求中的MN/HA验证扩展中，因此它无需将密钥个别地传递到HA。
可能希望利用消息完整性校验(MIC)来验证在移动以太网的隧道上传送的数据帧。父AP无法在其转发到HA的帧中生成MIC，除非它与HA共享私密密钥。该问题可以以下述两种方式来解决：1)本地SCM/FA可以将共享的HA私密密钥安全地分发到父AP，或者2)父AP可以将利用MIC验证的帧转发到本地FA，其中所述MIC是利用由AP和FA共享的密钥生成的。然后，本地FA可以将用由AP和FA共享的密钥生成的MIC验证的帧中继到HA。其中所述MIC是利用由AP和FA共享的密钥生成的。IPSec验证头部可以被用于第二种选择。
现在参考图2，示出了用于典型园区网的移动以太网数据转发路径200。与图1相同，校园IP网络102被用于各个组件之间的通信。转发IP隧道116被用于将来自归属代理118的ARP和DHCP消息IP单播到外地代理130。转发数据链路隧道148被用于外地代理130和AP 142之间的通信。然后，沿着路径152，在AP 142和MN 145之间发送802.11消息。AP 142可选地使用沿着路径154的常规IP路由与CH 140通信。AP 142可以使用沿着路径150的反向隧道与HA 118通信，所述反向隧道用于非IP单播、多播和IP单播帧。AP 142用于与HA 118通信的另一种选择是沿着路径202和204经由FA 130的反向隧道。
本领域技术人员可以容易地意识到，本发明具有很多方面，尤其是在与基于代理移动IP的解决方案相比较时。
本发明与分层的网络体系结构兼容。集成性降低了用户配置需求，并有助于更一致的集成管理接口。而标准的移动IP只支持用于IP应用的无缝子网移动性。移动以太网提供了用于IP和非IP应用两者的无缝子网移动性。例如，移动以太网可以提供用于被绑定到IPv6归属VLAN的IPv6MN的无缝移动性。
当前，标准的移动IP未被广泛使用，这主要因为移动IP得不到现有传统(即Microsoft)TCP/IP协议栈的广泛支持。相反，移动以太网对传统的协议栈来说是透明的。
移动以太网的另一方面在于它解决了代理MIP“ARP问题”，这是因为ARP帧被有选择地以隧道传输到/传输自外地子网上的MN。在外地子网上的MN无法使用ARP协议。在至少一种当前的代理MIP实现方式中，父AP生成对于外地子网上的MN的代理ARP回复。代理ARP回复在MN中创建无效的ARP缓冲条目，这致使MN发送具有不正确的目的地地址的以太网帧。在当前的代理MIP实现方式中，父AP总是在接收自代理MIP MN的帧中用默认路由器的MAC地址覆盖目的地MAC地址，即使MN“在归属地”也是如此。
使用“专用”不可路由的IP地址和NAT的移动以太网MN可以经由网间网访问它们的专用归属子网。
默认地，由外地子网上的MN发送的所有帧都利用反向隧道被转发；因此，移动以太网避免了与三角路由相关的防火墙问题。
标准的移动IP与DHCP不兼容，因为移动IP的MN必须具有永久的IP地址。但是，移动以太网MN可以使用DHCP来动态获取永久或临时的“归属IP地址”和其他网络配置参数。
在园区网中，多个“归属VLAN”可以提供等同的网络接入。例如，园区网可以具有多个“语音”VLAN。默认地，MN在启动时被动态绑定到“最近的”合适的归属VLAN。本发明使MN能够动态改变到不同的、更优选的归属VLAN。
MN可以经由移动以太网和DHCP隧道被动态绑定到远端的归属VLAN。例如，Windows 200/XP MN可以被无缝地绑定到归属VLAN，即使它在每次漫游到外地子网上的新的父AP时都执行DHCP释放/发现也是如此。作为第二示例，“访客MN”可以被自动分配到安全的“访客VLAN”，即使不能在父AP上实现VLAN中继也是如此。
移动以太网和VLAN访问被集成在一起，从而使用“最好的”可用访问方法将MN桥接到其归属VLAN。
移动以太网的HA/FA在用于每个AP子网的活动SCM中被自动使能。而无需为每个归属VLAN手工配置HA/FA。如果现有HA/FA失败，则利用SCM选择协议来自动选择新的HA/FA。
移动以太网安全性证书是使用下层的网络安全性协议来自动建立的，所述网络安全性协议用于建立“动态上下文传输密钥”。因此，用户无需像标准的移动IP那样手工配置HA/MN安全性密钥和安全性参数索引。在当前的代理MIP实现方式中，如果在MN上使能了DHCP，则私密密钥和SPI必须被DHCP地址池中的所有IP地址共享。
移动以太网的“广播区域”被用于将MN与外地子网隔离。广播/多播分组的单个拷贝被传递到外地子网上的移动以太网“广播区域”中的所有MN。在802.11链路上，移动以太网广播区域以与现有的VLAN广播区域完全相同实现，从而无需改变AP或客户端的802.11固件。
移动以太网的HA不使用标准的移动IP的“代理ARP”和“免费ARP”机制。取而代之，移动以太网的HA混杂地接收在归属子网上发送的想去往外地予网的MN的单播和广播帧。标准的源学习被用于以与其它AP内越区切换相一致的方式来重定向去往HA的帧。结果，移动以太网避免了与移动IP的“免费ARP”机制相关的问题。
移动PPP协议可以通过在移动以太网上运行PPPoE来实现。移动IP的兼容性：
移动以太网可以被实现以对标准RFC 3344移动IP的向后可兼容扩展，因此单个移动以太网HA/FA可以提供对移动以太网MN和移动IPv4MN两者的访问。
标准的移动IP注册消息格式被用于移动以太网注册消息。如果单个增强型HA/FA支持标准的移动IP和移动以太网两者，则可以利用标识标准移动IP(434)的UDP/IP头部和UDP协议端口来封装移动以太网注册消息。
起初，标准的移动IP HA/FA将不支持移动以太网；因此移动以太网注册消息必须利用标识分离的移动以太网软件SAP的IP/UDP/ME头部来封装。UDP协议端口可以被设置为WLCCP协议端口2887。如果/当对于移动以太网的支持被添加到IOS移动IP软件中时，移动以太网则可以被移植到标准的移动IP软件SAP中。
通过添加可选的消息“扩展”字段标准的移动IP被设计为可被扩展的，所述消息“扩展”字段具有类型-长度-值的格式。为了支持移动以太网所需的移动IP注册消息扩展包括：
1)移动以太网扩展——建立移动以太网作为用于各个MN的隧道机制。
2)MN标识符扩展——必须包含MN的802地址。
3)代理MN/HA验证扩展被用于验证由SCM中的代理MN生成的移动以太网注册消息。
出于图示和描述的目的，已经给出了对本发明优选实施例的以上描述。它不应被看作穷举性的，或被用于将本发明局限于所公开的精确形式。显而易见可以根据以上教导执行各种修改或变化。对实施例的选择和描述是为了最好地示出本发明的原理及其实践应用，从而使本领域普通技术人员能够以各种实施例以及适于所想到的特定用途的各种修改来利用本发明。所有这些修改和变化在根据以公正、合法和公平方式所赋予的宽度来理解时，都落入所附权利要求书确定的本发明的范围之内。