专利名称:无线网络安全接入方法、系统及无线控制器的制作方法
技术领域:
本发明涉及网络通信技术,尤其涉及一种无线网络安全接入方法、系统及无线 控制器。
背景技术:
无线局域网(WirelessLocalAreaNetworks ;简称为WLAN)是指应用无线通信
技术将计算机设备互联起来,使客户端可以随时随地接入宽带网络实现信息共享的一种 网络。其中,无线客户端(例如支持WLAN接入功能的笔记本电脑、个人数码助理或 无线网卡)通过无线接入点(Access Point;简称为AP)接入无线局域网。AP是连接有 线网和无线局域网的桥梁,其主要作用是将各个无线客户端连接到一起,然后将无线网 络接入以太网。通常AP仅具有802.11物理层的功能,即只能进行无线射频信号的发送和接收, 需要和一台无线控制器(Access Controller ;简称为AC)连接,由AC集中控制和管理 以接入有线网络。其中,AC负责数据交换和路由选择,还进行用户认证、安全策略管 理、射频信道选择和输出功率调整等。如图1所示,一种WLAN的网络拓扑包括ACl、 AC2、API、AP2、PCl禾Π PC2,其中PCl接入API,API通过有线网络与ACl连接; PC2接入AP2,AP2通过有线网络与AC2连接。无线客户端移动时通常会发生漫游,漫 游是指无线客户端从原来关联的AP重关联到相同WLAN中另一个AP的过程,在这一过 程中无线客户端的网际协议(Internet Protocol ;简称为IP)地址和其他无线客户端信息 不改变,对于用户来说该漫游过程是透明的。而当无线客户端漫游前后所关联的AP分别 连接不同的AC时,这种漫游称为AC间漫游。以图1所示网络结构为例,当PCl移动 到由关联APl变为关联AP2时,由于APl和AP2分别连接ACl和AC2,此时即称PCl 发生了 AC间漫游。其中,PCl漫游前所关联的APl所连接的ACl为漫出AC,PCl漫 游后所关联的AP2所连接的AC2为漫入AC。当发生AC间漫游后,为了保证无线客户端访问有线网络时的安全性,通常漫出 AC将其保存的与发生漫游的无线客户端相关的访问策略同步到漫入AC,在漫入AC上进 行无线客户端的访问控制。但是,当漫入AC上和漫出AC上的访问策略不同时将会使访 问策略之间相互影响,无法保证无线客户端在漫游前后的访问范围。例如假设漫入AC 上的访问策略为允许访问2.2.2.2网段,而漫出AC上的访问策略为允许访问1丄1.1网段, 此时若将漫出AC上的访问策略迁移到漫入AC上,将改变漫入AC上的安全策略;若不 将漫出AC上的访问策略迁移到漫入AC上,则无线客户端的访问范围将由原来的1.1丄1 网段变为2.2.2.2网段;对于WLAN来说并不期望出现上述任何一种问题,因此,需要一 种访问控制机制以便在发生AC间漫游时更好的进行访问控制。
发明内容
本发明提供一种无线网络安全接入方法、系统及无线控制器,用以解决发生AC间漫游时存在无线客户端的访问策略发生变化的问题,保证漫游前后采用相同的访问策 略对无线客户端进行访问控制。本发明提供一种无线网络安全接入方法,包括无线控制器根据接收到的封装报文中的无线局域网标识和无线客户端的信息, 确定所述无线客户端发生了无线控制器间漫游,所述封装报文是由无线接入点根据所述 无线客户端发出的报文生成的;所述无线控制器向其他无线控制器发送探测报文,以获取漫出无线控制器,所 述探测报文包括所述无线客户端的信息;所述无线控制器将所述封装报文发送给获取的所述漫出无线控制器,以供所述 漫出无线控制器对所述无线客户端进行接入时的安全控制。本发明提供一种无线控制器,包括确定模块,用于根据接收到的封装报文中的无线局域网标识和无线客户端的信 息,确定所述无线客户端发生了无线控制器间漫游,所述封装报文是由无线接入点根据 所述无线客户端发出的报文生成的;获取模块,用于向其他无线控制器发送探测报文,以获取漫出无线网络控制 器,所述探测报文包括所述客户端的信息;第一发送模块,用于将所述封装报文发送给获取的所述漫出无线控制器,以供 所述漫出无线控制器对所述无线客户端进行接入时的安全控制。本发明提供一种无线网络安全接入系统,包括本发明提供的任一无线控制器, 还包括无线接入点和无线客户端;所述无线客户端,与所述无线接入点连接,用于向所述无线接入点发送报文;所述无线接入点,与所述无线控制器连接,用于根据所述无线客户端发送的报 文生成封装报文,并将所述封装报文发送给所述无线控制器。本发明提供的无线网络安全接入方法、系统及无线控制器,首先确定无线客户 端发生了 AC间漫游,然后,通过发送探测报文获取无线客户端对应的漫出AC,然后将 无线客户端的报文转发到漫出AC上,由漫出AC根据其上存储的访问策略对无线客户端 进行接入时的访问控制。本发明技术方案将接入访问控制转交到了漫出AC,由于漫出 AC上的访问策略是在漫游前无线客户端正常加入时建立的,在无线客户端的漫游过程中 始终保持不变,而漫游前后均由该漫出AC采用其上存储的访问策略对无线客户端进行访 问控制,因此,可以保证漫游前后无线客户端具有相同的访问范围,解决了发生AC间漫 游时存在的无线客户端的访问策略发生变化的问题,保证了漫游前后采用相同的访问策 略对无线客户端进行访问控制。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或 现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是 本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下, 还可以根据这些附图获得其他的附图。图1为现有技术无线局域网的一种结构示意图2为本发明实施例一提供的无线网络安全接入方法的流程图;图3A为本发明实施例二提供的无线控制器的一种结构示意图;图3B为本发明实施例二提供的无线控制器的又一种结构示意4为本发明实施例三提供的无线网络安全接入系统的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施 例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实 施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普 通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护 的范围。在WLAN中,在无线客户端未发生漫游的情况下,无线客户端发送报文给其所 关联的AP,由该AP对报文进行封装,在封装头部中加入无线客户端所在的WLAN的信 息;然后该AP将封装后的报文发送给其所连接的AC。AC对收到的封装后的报文进行 解封装,根据获取的WLAN的信息选择对应的访问策略对报文进行过滤。其中,访问策 略可以是在AC上预先配置的静态策略,也可以是通过各种协议从提供访问策略的服务器 (主要是指802.1x认证服务器、Web认证服务器等认证服务器)上获取的动态策略。通常,在未发生漫游的情况下,无线客户端的访问范围受无线客户端当前关联 的AP所连接的AC上的对无线客户端所在WLAN相关的访问策略的限制。在无线客户 端发生了漫游的情况下,为了保证无线客户端的访问范围不变,本发明提出要求无线客 户端漫游前后受到完全相同的访问策略的控制的技术方案。基于此,本发明以下各实施 例将详细说明本发明技术方案的实现过程。实施例一图2为本发明实施例一提供的无线网络安全接入方法的流程图。如图2所示, 本实施例的无线网络安全接入方法包括步骤201、AC根据接收到的封装报文中的无线局域网标识和无线客户端的信 息,确定无线客户端发生了 AC间漫游,所述封装报文是由AP根据无线客户端发出的报 文生成的;具体地,在无线客户端发生AC间漫游的情况下,无线客户端向其漫游后所关联 的AP发送报文,漫游后所关联的AP负责对报文进行封装,形成封装报文,该封装报文 中包括有无线客户端所在WLAN的WLAN标识(例如WLAN ID)以及无线客户端的相 关信息(例如无线客户端的标识、名称、IP地址等)。漫游后所关联的AP将封装报 文发送给其所连接的AC。AC对接收到的封装报文进行解封装,获取其中的WLAN标识和无线客户端的信 息。其中,由于只有在同一 WLAN中才能发生漫游,因此,AC要判断该无线客户端是 否发生AC间漫游,需要判断该无线客户端是否存在该AC已关联的无线客户端中;若存 在,则说明该无线客户端并非发生AC间漫游的无线客户端;反之,说明该无线客户端发 生了 AC间漫游。由于本实施例技术方案是针对发生AC间漫游的情况而提出的,而对于未发生AC间漫游 的情况可采用现有技术的方案进行处理,因此,在本实施例中,直接假设AC 确定该无线客户端发生了 AC间漫游,基于此,可继续执行步骤202。后续将作为本实施 例执行主体的AC,亦即判断出无线客户端发生AC间漫游的该AC称为漫入AC。步骤202、AC向其他AC发送探测报文,以获取漫出AC,所述探测报文包括无 线客户端的信息;当漫入AC确定无线客户端发生AC间漫游之后,为保证该无线客户端在漫游前 后受到相同访问策略的控制,漫入AC向所在WLAN中与之相邻的其他AC发送包括无线 客户端的信息的探测报文,以供其他AC在收到该探测报文后根据其中的无线客户端的信 息判断该无线客户端是否为其之前所关联的无线客户端,即供其他AC判断其是否为漫出 AC ;并使该漫入AC获知其相邻的哪个AC为漫出AC。其中,可以预先在各个AC间约定当收到探测报文后进行回复,即向发送探测 报文的AC(即漫入AC)发送探测响应报文,并且在探测响应报文中携带是否为漫出AC 的信息;例如可以将探测响应报文中的某位作为漫出AC标识位,当该位为“1”时表示 该AC为漫出AC;当该位为“0”时表示该AC不是漫出AC。另外,还可以预先在各个AC间约定只有在收到探测报文且确定为漫出AC 时,向漫入AC发送探测响应报文;其中,收到探测报文但并非是漫出AC的AC不需要 向漫入AC发送探测响应报文。通过上述方式,作为本实施例执行主体的漫入AC可以根据接收到的探测响应报 文获知无线客户端对应的漫出AC,并在获知漫出AC的基础上执行步骤203。具体的, 基于前一种实施方式,漫入AC有可能接收到多个探测响应报文,需要根据探测响应报文 中的漫出AC标识位来确定漫出AC;若基于后一实施方式,漫入AC仅会收到一个探测 响应报文,即漫出AC发送的探测响应报文,因此,可直接基于该探测响应报文确定漫出 ACo在此需要说明,其中,漫入AC仅在接收到第一个封装报文时向其他AC发送探 测报文是一种获取漫出AC的优选方式,可以避免多次发送探测报文造成的资源浪费;当 漫入AC获知到漫出AC,将漫出AC的信息存储起来;对于接收到的后续封装报文,漫 入AC可以直接根据存储的漫出AC的信息转发到漫出AC,而不必每次都通过发送探测 报文获取漫出AC,但并不限于此。步骤203、AC将封装报文发送给获取的漫出AC,以供漫出AC对无线客户端进 行接入时的安全控制。其中,在本实施例中漫出AC上的访问策略是在无线客户端正常加入时建立并存 储的,且在无线客户端的漫游过程中始终保持不变,因此,漫入AC将无线客户端的报 文转发至漫出AC,由漫出AC根据其上存储的访问策略对无线客户端的接入进行访问控 制,可以保证无线客户端漫游前后受到相同访问策略的控制。具体地,在本步骤203中,漫入AC可以将解封装后的报文进行重新封装,并在 其封装头中封装所在WLAN标识,亦即解封装时获取的WLAN标识,将重新封装形成的 报文发送给漫出AC。另外,本实施例的漫入AC在接收到封装报文时,可以存储该封装 报文,因此,在该步骤203中漫入AC还可以将所存储的封装报文直接转发给漫出AC。 以上仅为本实施例提供的漫入AC向漫出AC提供封装报文的两种具体实现方式,并不限于此。漫出AC对收到封装报文进行解封装,获取其中的WLAN标识,根据WLAN标 识获取相应的访问策略,对解封装获取到的无线卡客户端发送的报文进行过滤,实现对 无线客户端接入时的控制。其中,不同WLAN可采用不同的访问策略进行无线客户端的访问控制,因此, 在本实施例中采用WLAN标识来区分不同WLAN下的访问策略。本实施例的无线网络安全接入方法,在根据WLAN标识和无线客户端的信息确 定无线客户端发生AC间漫游时,漫入AC通过探测报文获取漫出AC,并将无线客户端的 报文转发给漫出AC,由漫出AC采用漫游前的访问策略对漫游后的无线客户端进行接入 时的访问控制,保证了漫游前后无线客户端受相同访问策略的控制,具有相同的访问范 围,解决了现有技术中存在的发生AC间漫游时无线客户端的访问范围发生变化的问题。进一步,与现有技术相比,本实施例不需要在漫入AC和漫出AC间进行访问策 略同步迁移,因此,不存在因访问策略的搬移而造成的延长断流时间的问题,极大地提 高了有访问策略的无线客户端的漫游效率和速度。基于上述技术方案,本实施例提供一种确定无线客户端发生AC间漫游的具体实 施方式。其中每个AC上均会存储有其下所关联的无线客户端以及无线客户端的相关信 息,即在AC上存储有客户端信息。因此,AC可以根据解封装封装报文获取到的WLAN 标识,获取其下所关联的属于该WLAN标识对应的WLAN的无线客户端以及相关信息, 即客户端信息;然后,AC将解封装封装报文获取的无线客户端的信息与本地存储的属于 同一 WLAN下的客户端信息进行比较;若比较得出本地存储的属于同一 WLAN下的 客户端信息中不存在无线客户端的信息,则确定无线客户端发生了 AC间漫游;反之,说 明无线客户端未发生AC间漫游。本实施例提供的基于AC本地存储的客户端信息来确定无线客户端是否发生AC 间漫游的技术方案,所需信息获取方便,因此具有简单易于实施且判断效率较高的优
点ο在此需要说明,在本发明的技术方案中,无论是发生几次AC间漫游,漫出AC 均为无线客户端正常接入时所关联的AP连接的AC。例如当无线客户端接入WLAN 时所关联的AP连接的AC为第一 AC,然后由第一 AC漫游到第二 AC时,第一 AC为本 发明技术方案的漫出AC,第二 AC为本发明技术方案的漫入AC;接着无线客户端又由第 二AC漫游到第三AC,此时对于第二AC来说,其上并未配置与无线客户端相关的安全策 略,其使用的是第一 AC的安全策略,而为了保证第二次漫游时无线客户端能够受到与第 一次漫游时相同的安全策略控制,因此,对第二次漫游来说,其漫出AC仍为第一 AC, 而漫入AC为第三AC。在上述漫游过程中,安全策略始终位于第一 AC上。实施例二图3A为本发明实施例二提供的无线控制器的一种结构示意图。如图3A所示, 本实施例的AC包括确定模块31、获取模块32和第一发送模块33。其中,确定模块31用于根据接收到的封装报文中的WLAN标识和无线客户端的 信息,确定无线客户端发生了 AC间漫游,其中封装报文是由AP根据无线客户端发出的 报文生成的;获取模块32,与确定模块31连接,用于在确定模块31确定无线客户端发生AC间漫游时,向其他AC发送探测报文,以获取无线客户端对应的漫出AC,其中探测 报文中包括无线客户端的信息;第一发送模块33,与确定模块31和获取模块32连接, 用于将封装报文发送给获取的漫出AC,以供漫出AC对无线客户端进行接入时的安全控 制。具体的,获取模块32向其他AC发送探测报文,其他AC接收到探测报文后可以 根据其中的无线客户端的信息判断其是否为漫出AC,并向本地AC(即漫入AC)的获取 模块32根据预先约定的规则发送探测响应报文,以供获取模块32根据该探测响应报文获 取漫出AC。本实施例的AC可用于执行本发明实施例提供的无线网络安全接入方法的流程, 通过确定模块确定无线客户端发生AC间漫游,通过获取模块获取无线客户端对应的漫出 AC,并由第一发送模块将无线客户端的报文转发到漫出AC,由漫出AC对无线客户端进 行接入时的访问控制。由于漫出AC上的访问策略是在无线客户端正常加入时建立的, 且在无线客户端的漫游过程中不变,因此,由于漫出AC根据其上存储的访问策略对无线 客户端进行接入时的访问控制,保证了无线客户端漫游前后受到相同访问策略的控制, 克服了现有技术中发生AC间漫游时可能出现无线客户端漫游前后访问范围不同的缺陷, 保证了无线客户端在漫游前后具有相同的访问范围。进一步,如图3B所示,本实施例的确定模块31包括第一接收单元311、第一 获取单元312、比较单元313和确定单元314。其中,第一接收单元311,用于接收与本 地AC连接的AP发送的封装报文;该AP接收无线客户端的报文,对接收到的报文进行 封装,在封装头部添加无线客户端所在WLAN的WLAN标识,形成封装报文,并将封装 报文发送给第一接收单元311。第一获取单元312,与第一接收单元311连接,用于解析 第一接收单元311接收到的封装报文,获取其中的WLAN标识和无线客户端的信息;比 较单元313,与第一获取单元312连接,用于根据WLAN标识,将无线客户端的信息和本 地AC所存储的客户端信息进行比较;确定单元314,与比较单元313连接,用于在比较 单元3 13比较得出本地AC存储的客户端信息中不存在无线客户端的信息时,确定无线 客户端发生了 AC间漫游。进一步,本实施例中的确定单元314还用于在比较单元313比较得出本地AC 存储的客户端信息中存在无线客户端的信息时,确定无线客户端未发生AC间漫游。其 中,当确定出无线客户端未发生AC间漫游时,可以将该确定结果提供给AC中现有功能 模块,例如对无线客户端进行接入控制的接入控制模块等。由于无线客户端未发生AC间 漫游的情况下,AC所进行的后续处理与现有技术相同,因此,本实施例并不对实现该功 能的AC结构进行说明,可参见现有技术。其中,上述实施例所提供的确定模块的具体实现结构仅为一种举例,并不限于 此,也可以采用其他结构或功能模块来实现。进一步,在上述技术方案的基础上,本实施例提供一种获取模块32的具体实现 结构,但并不限于此。如图3B该获取模块32包括发送单元321、第二接收单元322和 第二获取单元323。其中,发送单元321,与确定模块31或确定单元314连接,用于向其 他AC发送探测报文;第二接收单元322,与发送单元321连接,用于在发送单元321发 送探测报文之后,接收其他AC发送的探测响应报文;其中该探测响应报文是由其他AC根据预先约定的规则,在收到探测报文后返回的,且该探测响应报文中包括漫出AC的信 息。第二获取单元323,与第二接收单元322连接,用于根据探测响应报文,获取漫出 AC。例如可以通过解析探测响应报文,根据其中携带的漫出AC标识位确定漫出AC, 但并不限于此。其中,发送单元321可优选地仅根据第一个封装报文发送探测报文,以 获取漫出AC。基于上述技术方案,本实施例的AC还包括接收模块和第二发送模块。具体 地,当本实施例的AC作为其他AC的邻居,且在其他AC发送探测报文以获取其所对应 的漫出AC时,本实施例的AC可以通过接收模块接收其他AC发送的用于获取漫出AC的 探测报文,并通过第二发送模块根据预先约定的规则向其他AC发送探测响应报文,以供 其他AC根据该探测响应报文获取其所需的漫出AC。其中,第二发送模块可以根据在各 个AC间预先约定的规则来发送探测响应报文。例如各个AC间可以预先约定在接 收到探测报文时,向发送探测报文的AC发送探测响应报文,并通过探测响应报文中的某 个标识位携带是否为漫出AC的信息;基于此,本实施例的第二发送模块只要接收到探测 报文就需要向其他AC发送携带是否为漫出AC信息的探测响应报文。又例如各个AC 间还可以预先约定只有在接收到探测报文且为漫出AC时,向发送探测报文的AC发送 探测响应报文,若不是漫出AC则不需发送探测响应报文;基于此,本实施例的第二发送 模块只需在本实施例的AC为与其他AC对应的漫出AC时发送探测响应报文,反之,则 不需发送探测响应报文,此时,其他AC仅会接收到的漫出AC发送的探测响应报文,并 可以基于接收到的探测响应报文确定漫出AC。其中,通过上述技术方案可实现本实施例的AC在作为其他AC的漫出AC时, 向其他AC通告其为漫出AC的技术方案。综上所述,本实施例提供的AC可用于执行本发明实施例提供的无线网络安全接 入方法的流程,同样可保证无线客户端漫游前后受到相同访问策略的控制,克服了现有 技术中发生AC间漫游时可能出现无线客户端漫游前后访问范围不同的缺陷,保证了无线 客户端在漫游前后具有相同的访问范围。实施例三图4为本发明实施例三提供的无线网络安全接入系统的结构示意图。本实施例 的系统包括AC、AP和无线客户端。其中,本实施例的系统包括多个AC,各个AC 相互连接,并处于同一 WLAN中;同理,在本实施例的系统中也会存在多个AP或多个 无线客户端。在图4中所示系统中仅示出2个AC、2个AP和1个无线客户端,分别为 AC41和AC42,AP43和AP44,以及无线客户端45。其中,本实施例中的AC41和AC42可以采用本发明上述实施例提供的AC,具 体结构和功能可参见本发明上述实施例的描述,在此不再赘述。其中,无线客户端45与AP43或AP44连接,具体为无线连接方式,用于向AP43 或AP44发送报文;AP43和AP44分别与AC41和AC42连接,用于根据无线客户端45发 送的报文生成封装报文,并将封装报文发送给AC41和AC42。在本实施例的系统中,当无线客户端45移动而发生AC间漫游时,例如由关联 AP43变为关联AP44时,即发生了 AC间漫游。此时,本实施例中的AC42可以解封装 AP44发送的封装报文,并根据其中的WLAN标识和无线客户端45的信息以及本地所存储的客户端信息,确定无线客户端45发生AC间漫游;然后,AC42向AC41发送探测报 文,接收并根据AC41返回的探测响应报文获知AC41为漫出AC,将接收到的AP44发送 的封装报文发送给AC41,由AC41对无线客户端45进行接入时的访问控制。在此需要 说明,其中,为获取AC41用的探测报文优选为仅在接收到第一个封装报文时进行发送, 在获取到漫出AC为AC41后将AC41的信息进行存储,对后续接收到的封装报文可以直 接转发到AC41进行访问控制。进一步,本实施例中的AP44可包括第三接收单元和封装单元。第三接收单元, 用于接收无线客户端45发送的报文;封装单元,用于将AP44以及无线客户端45、AC41 等所在的WLAN的WLAN ID和接收到的报文进行封装,具体是指将WLAN ID封装到接 收到的报文的报文头部,以形成发送给AC42的封装报文。其中,AP43也可以包括上述 功能单元。本实施例的无线网络安全接入系统,同样可用于执行本发明实施例提供的无线 网络安全接入方法的流程,具体由漫入AC将无线客户端的报文转发给漫出AC,由漫出 AC对无线客户端进行接入时的访问控制,保证了漫游前后无线客户端受相同访问策略的 控制,具有相同的访问范围,解决了现有技术中存在的发生AC间漫游时无线客户端的访 问范围发生变化的问题。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以 通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中, 该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括ROM、 RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制; 尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其 依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等 同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方 案的精神和范围。
权利要求
1.一种无线网络安全接入方法,其特征在于,包括无线控制器根据接收到的封装报文中的无线局域网标识和无线客户端的信息,确定 所述无线客户端发生了无线控制器间漫游,所述封装报文是由无线接入点根据所述无线 客户端发出的报文生成的;所述无线控制器向其他无线控制器发送探测报文,以获取漫出无线控制器,所述探 测报文包括所述无线客户端的信息;所述无线控制器将所述封装报文发送给获取的所述漫出无线控制器,以供所述漫出 无线控制器对所述无线客户端进行接入时的安全控制。
2.根据权利要求1所述的无线网络安全接入方法,其特征在于,无线控制器根据接收 到的封装报文中的无线局域网标识和无线客户端的信息,确定所述无线客户端发生了无 线控制器间漫游包括所述无线控制器接收所述无线接入点发送的所述封装报文;所述无线控制器解析所述封装报文,获取所述无线局域网标识和无线客户端的信息;所述无线控制器根据所述无线局域网标识,将所述无线客户端的信息和所述无线控 制器本地存储的客户端信息进行比较;所述无线控制器在所述无线控制器本地存储的客户端信息中不存在所述无线客户端 的信息时,确定所述无线客户端发生了无线控制器间漫游。
3.根据权利要求1或2所述的无线网络安全接入方法,其特征在于,所述无线控制器 向其他无线控制器发送探测报文,以获取漫出无线控制器包括所述无线控制器向所述其他无线控制器发送探测报文;所述无线控制器接收所述其他无线控制器根据预先约定的规则发送的探测响应报文;所述无线控制器根据所述探测响应报文,获取所述漫游无线控制器。
4.一种无线控制器,其特征在于,包括确定模块,用于根据接收到的封装报文中的无线局域网标识和无线客户端的信息, 确定所述无线客户端发生了无线控制器间漫游,所述封装报文是由无线接入点根据所述 无线客户端发出的报文生成的;获取模块,用于向其他无线控制器发送探测报文,以获取漫出无线网络控制器,所 述探测报文包括所述无线客户端的信息;第一发送模块,用于将所述封装报文发送给获取的所述漫出无线控制器,以供所述 漫出无线控制器对所述无线客户端进行接入时的安全控制。
5.根据权利要求4所述的无线控制器,其特征在于,所述确定模块包括 第一接收单元,用于接收所述无线接入点发送的所述封装报文;第一获取单元,用于解析所述封装报文,获取所述无线局域网标识和无线客户端的 fn息;比较单元,用于根据所述无线局域网标识,将所述无线客户端的信息和所述无线控 制器本地存储的客户端信息进行比较;确定单元,用于在所述比较单元比较得出所述无线控制器本地存储的客户端信息中不存在所述无线客户端的信息时,确定所述无线客户端发生了无线控制器间漫游。
6.根据权利要求4或5所述的无线控制器,其特征在于,所述获取模块包括 发送单元,用于向所述其他无线控制器发送探测报文;第二接收单元,用于接收所述其他无线控制器根据预先约定的规则发送的探测响应 报文;第二获取单元,用于根据所述探测响应报文,获取所述漫出无线控制器。
7.根据权利要求4或5所述的无线控制器,其特征在于,还包括 接收模块,用于接收所述其他无线控制器发送的探测报文;第二发送模块,用于根据预先约定的规则向所述其他无线控制器发送探测响应报 文,以供所述其他无线控制器根据所述探测响应报文获取漫出无线网络控制器。
8.—种包括权利要求4-7任一项所述的无线控制器的无线网络安全接入系统,其特征 在于,还包括无线接入点和无线客户端;所述无线客户端,与所述无线接入点连接,用于向所述无线接入点发送报文; 所述无线接入点,与所述无线控制器连接,用于根据所述无线客户端发送的报文生 成封装报文,并将所述封装报文发送给所述无线控制器。
9.根据权利要求8所述的无线网络安全接入系统,其特征在于,所述无线接入点包括第三接收单元,用于接收所述无线客户端发送的报文;封装单元,用于将所在无线局域网的无线局域网标识和所述报文进行封装,形成所 述封装报文。
全文摘要
本发明提供一种无线网络安全接入方法、系统及无线控制器,方法包括无线控制器根据接收到的封装报文中的无线局域网标识和无线客户端的信息,确定无线客户端发生了无线控制器间漫游,封装报文是由无线接入点根据所述无线客户端发出的报文生成的;无线控制器向其他无线控制器发送探测报文,以获取漫出无线控制器,探测报文包括无线客户端的信息;无线控制器将封装报文发送给获取的漫出无线控制器,以供漫出无线控制器对无线客户端进行接入时的安全控制。采用本发明技术方案,可以解决发生AC间漫游时存在的无线客户端的访问策略发生变化的问题,保证漫游前后采用相同的访问策略对无线客户端进行访问控制。
文档编号H04W12/08GK102014391SQ20101057164
公开日2011年4月13日 申请日期2010年11月29日 优先权日2010年11月29日
发明者吴梦非, 杨红飞, 茅新民 申请人:北京星网锐捷网络技术有限公司