一种IP动态绑定的无线网络构建方法及相应网络架构与流程

本发明涉及无线网络通信领域，具体涉及一种IP动态绑定的无线网络构建方法及相应网络架构。

背景技术：

近年来，随着无线通信技术的高速发展，无线通信逐渐成为人们日常工作和生活中必不可少的工具。而且，由于智能手机、平板电脑等终端的大量使用，信息系统应用将日益普及。然而，海量应用要得以推广并充分发挥价值，其基础之一就是无线网络的应用。

现有的无线网络技术中，往往是通过多台不同的无线接入设备来进行不同的区域覆盖，并不能够实现对于同一台无线设备而言，无障碍的无缝漫游接入。

此外，现有的无线网络中，对于外部人员的接入，也往往是无区别对待，无法限制其网络使用状况。

技术实现要素：

针对上述问题，本发明希望提供了一种能够保证大厦内用户可随时随地接入网络，实现联通办公的无线网络构建方法及相应的网络架构。

具体而言，本发明提供一种IP动态绑定的无线网络构建方法，其特征在于，所述无线网络构建方法包括：

步骤(1)，在每个目标房间部署一个或多个无线接入设备AP；

步骤(2)，在每个目标楼层部署多个POE供电交换机，分别将每个楼层内的无线接入设备AP分别连接到相应楼层的POE供电交换机中的至少一个上；

步骤(3)，将所述POE供电交换机分组，每组POE供电交换机与一个汇聚交换机通信连接；

步骤(4)，每个汇聚交换机分别连接至核心交换机，核心交换机上设置无线控制器AC板卡；

步骤(5)，在隔离区搭设IMC服务器和DHCP服务器，所述IMC服务器用于对每个接入的用户进行安全认证以及无线用户的管理，所述DHCP服务器用于为每个无线接入用户分配地址；

步骤(6)、对于接入网络的无线用户，所述IMC服务器基于无线用户的类型对相应用户进行认证，并为认证通过的无线用户分配不同的SSID，将认证通过的无线用户，发送至DHCP服务器；

步骤(7)、对于被分配第一类SSID的无线用户，所述DHCP服务器获取该用户的MAC地址并且为其分配固定的IP地址，将所述MAC地址与所分配的IP地址绑定，以生成MAC地址和IP地址映射表，将相应用户设定为绑定用户，对于被分配第二类SSID的无线用户，所述DHCP服务器获取该用户的MAC地址并且为其分配固定的IP地址，将所述MAC地址与所分配的IP地址绑定，并且设定绑定的期限，一旦超过绑定期限则清除对其的绑定，对于被分配第三类SSID的用户，所述DHCP服务器为其分配临时IP地址；

步骤(8)、判断绑定用户访问时间间隔是否超过预定时限，对于访问时间间隔超过预定时限的绑定用户，解除该绑定用户的MAC地址和IP地址绑定，将其映射关系从映射表中清除。

优选地，所述SSID的类型包括：正式员工ID、临时员工ID以及访客ID，对于正式员工ID和临时员工ID，在相应用户访问时，基于802.1x认证对相应用户进行认证，并且将其MAC与预定IP地址绑定，对于访客ID，基于Portal认证对相应用户进行认证，并且，为其设置临时访问权限。

优选地，所述无线接入设备AP部署在室内天花板上。

优选地，所述方法用于对现有网络进行升级改造，所述方法还包括：利用IMC服务器，把现有网络中核心和接入设备全部纳入IMC服务器的网管系统中，在IMC的认证接入设备中添加NAS设备，确保RADIUS和DOMAIN域参数正确无误，随后根据用户准入规定进行接入策略的划分，按照不同用户群不同权限的要求进行部署；

使用IMC的自动发现功能将现网中网络设备纳入IMC网管中，对不能进行自动发现的设备采用手工添加的方式进行纳管。

另一方面，本发明提供一种IP动态绑定的无线网络架构，其特征在于，所述无线网络架构包括：多个无线接入设备AP，多个POE交换机、多个汇聚交换机、一个或多个核心交换机、IMC服务器和DHCP服务器，

多个无线接入设备AP分别部署在目标房间中，每个目标房间中部署一个或多个无线接入设备AP；

多个POE供电交换机分别部署在目标楼层中，每个楼层内的无线接入设备AP分别连接到相应楼层的POE供电交换机中的至少一个上；

所述POE供电交换机分成若干组，每组POE供电交换机与一个汇聚交换机相连；

每个汇聚交换机均连接至核心交换机，核心交换机上设置无线控制器AC板卡；

所述IMC服务器基于无线用户的类型对相应用户进行认证，并为认证通过的无线用户分配不同的SSID，将认证通过的无线用户，发送至DHCP服务器；

所述DHCP服务器，用于为每个无线接入设备AP和所接入的用户分配地址，对于被分配第一类SSID的无线用户，所述DHCP服务器获取该用户的MAC地址并且为其分配固定的IP地址，将所述MAC地址与所分配的IP地址绑定，以生成MAC地址和IP地址映射表，将相应用户设定为绑定用户，对于被分配第二类SSID的无线用户，所述DHCP服务器获取该用户的MAC地址并且为其分配固定的IP地址，将所述MAC地址与所分配的IP地址绑定，并且设定绑定的期限，一旦超过绑定期限则清除对其的绑定，对于被分配第三类SSID的用户，所述DHCP服务器为其分配临时IP地址。本发明中所提到的IMC服务器是由杭州华三通信技术有限公司生产的市售智能管理服务器。

本发明通过在办公楼建设和应用无线互联网，大厦内用户可随时随地接入网络，实现联通办公，推动企业信息资源的共享，提高协同工作效率，进一步实现信息化的价值。

本发明提供的无线网络架构，具有高性能、高可用性、高扩展性；并且具有较好的开放性、兼容性。

本发明的网络架构可以实现总部无线信道统一规划、无线安全统一管控、无线用户统一管理、无线设备统一管控。

本发明的网络架构建成后，可以使所覆盖区域内的员工利用带有无线接入功能的笔记本、平板电脑(PAD)、智能手机等移动终端通过无线网络接入网络，通过统一无线信道，确保“一人一号”，实现楼内“漫游”。针对外部用户，制定严格的准入策略，限制其临时访问公司内部网络、应用系统和互联网访问的权限，并严格控制其使用流量。

附图说明

图1为具有3处位于不同楼宇中的办公区的现有无线网络架构的一个实例；

图2为采用本发明的无线网络部署进行升级改造后的无线网络结构示意图。

图3为采用本发明的架构对现有架构进行升级改造过程的割接流程。

具体实施方式

以下结合附图及其实施例对本发明进行详细说明，但并不因此将本发明的保护范围限制在实施例描述的范围之中。

如图1所示为现有的具有白广路、西单和银座三处办公区的一个无效网络架构的结构示意图。

从图中可以看出，其采用多个核心交换机、DHCP服务器、ACS服务器，分别通过两个路由器出口进行网络输出。但是，图1中所采用的网络架构无法实现相同用户在网络架构内的不同办公区内进行无缝式漫游接入。

针对上述问题，本发明的实施例提出了图2中所示的网络架构。

如图2所示，本实施例中的无线网络架构包括：无线接入设备AP、POE交换机、汇聚交换机、核心交换机、IMC服务器和DHCP服务器。每个办公区可以采用一个或多个汇聚交换机。

如图所示，该无线网络架构分为四个层级，最下层为多个无线接入设备AP。其上层为POE交换机用于进行楼层内的通信，更上层为汇聚交换机，用于将多个楼层的通信进行汇总，最上层为核心交换机。POE供电交换机分别部署在目标楼层中，每个楼层内的无线接入设备AP分别连接到相应楼层的POE供电交换机；POE供电交换机分成若干组，每组POE供电交换机与一个汇聚交换机相连。每个汇聚交换机均连接至核心交换机。

IMC服务器基于无线用户的类型对相应用户进行认证，并为认证通过的无线用户分配不同的SSID，将认证通过的无线用户，发送至DHCP服务器。

DHCP服务器用于为每个无线接入设备AP和所接入的用户分配地址，对于被分配第一类SSID的无线用户，所述DHCP服务器获取该用户的MAC地址并且为其分配固定的IP地址，将所述MAC地址与所分配的IP地址绑定，以生成MAC地址和IP地址映射表，将相应用户设定为绑定用户，对于被分配第二类SSID的无线用户，所述DHCP服务器获取该用户的MAC地址并且为其分配固定的IP地址，将所述MAC地址与所分配的IP地址绑定，并且设定绑定的期限，一旦超过绑定期限则清除对其的绑定，对于被分配第三类SSID的用户，所述DHCP服务器为其分配临时IP地址。

AP的部署

AP主要有两种安装方式：壁挂式安装、吊顶式安装。吊顶式安装信号为水平覆盖、壁挂安装信号为垂直覆盖。

吊顶安装适合于需要以AP为中心实现一定范围内的无线水平覆盖的方式，比如在中间走道、两边房间的环境，可以将AP安装在走道天花板吊顶，以此覆盖两边的多个房间。在会议室环境，可以将AP安装在天花板吊顶。

吊顶安装一般有两种方式:放在天花板内，或放在天花板外。放在天花板内，信号会有所损失，如果是非金属天花板，影响不大，却可以做到防盗和更美观。

壁挂式安装位将AP垂直安装在墙壁上，让信号进行垂直覆盖，壁挂式安装适用于以AP为一点向某一区域进行照射覆盖，壁挂式安装也可选择将设备安装于天花板之上。AP的部署需要根据目标区域的不同选择最佳的覆盖方案。根据覆盖区域和用户要求的不同，可以采用室内直接覆盖、室内分布式覆盖方案。

AP设备支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现无线接入设备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的无线接入设备可供用户接入，如果有则会拒绝用户的关联请求，用户会转而接入其他负载较轻的无线接入设备，但如果无线用户不在重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，造成误均衡。新型AP需要支持智能负载均衡技术，保证只对处于覆盖重叠区的无线用户才启动负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。

IMC部署

IMC服务器作为无线认证设备，进行冗余性部署，两台IMC作为1+1冗余备份。同时两台IMC也兼顾无线网络和有线网络的统一管理工作，达到有线设备与无线设备统一平台管理的目的。

无线网络SSID

SSID(Service Set Identifier)是WLAN信号的标识，SSID规划时，为了便于对无线用户进行区分，并能够方便的进行漫游，可以考虑对不同的用户群划分不同的SSID。本发明将SSID分为：sgcc-s1(正式员工)、sgcc-s2(临时驻场/借调员工)、sgcc-s3(访客)

IEEE 802.1X协议是一种基于端口的网络接入控制协议，主要目的是为了解决无线用户的接入认证问题。对于基于IEEE 802.11系列标准的无线局域网，通过对无线用户的身份验证，无线网络可以打开或关闭无线终端接入的接口，同时还可以根据其身份属性，为其分配动态角色和VLAN，确保用户终端接入的安全性。

在安全性上，WEB Portal认证不提供密钥的生成和交换机制，因此所有的用户流量都是以明文方式传输的，容易被截获和侦听；IEEE 802.1X(WPA2-AES)符合IEEE 802.11i安全标准，在用户认证的基础上，对每个报文采用不同的密钥进行逐包加密，具有更高的安全性。

为了保证无线用户接入同时具有较高安全性和便捷性，本发明采用基于IEEE 802.1X的无感知认证技术，将员工的MAC地址和为其分配IP地址进行绑定，员工只需要在第一次认证中完成首次用户名及密码的输入，以后无线终端只要发现无线信号，就会自动进行IEEE 802.1X的接入认证并连接无线网络，真正实现“一次登陆，三步操作，后续无忧”，带给用户最佳的使用体验。

此外，本实施例中还提供了对现有图1中所示网络架构进行升级改造的方法。升级改造的过程如图3所示。

首先，设备配置备份：包括配置备份、路由备份、VLAN备份、协议状态、软件版本备份；备份现网运行的配置信息，要求备份信息详细准确，并按照配置信息修改出一份现运行的配置脚本信息，用以割接故障时迅速回退。

进行核心交换机、无线AC、无线AP的配置准备。

分别按照规划进行核心交换机、AC控制器和AP的配置工作，配置完成后线下测试功能及稳定性。

进行物理连接记录：包括原有网络设备、主机的端口互联对应表；原有线缆的标签记录等。

然后，部署iMC服务器，把现有网络中核心和接入设备全部纳入iMC服务器的网管系统中，在iMC的认证接入设备中添加NAS设备，确保RADIUS和DOMAIN域参数正确无误，随后根据用户准入规定进行接入策略的划分，按照不同用户群不同权限的要求进行部署；

使用iMC的自动发现功能将现网中网络设备纳入iMC网管中，对不能进行自动发现的设备采用手工添加的方式进行纳管。

集成有线网络设备和无线网络设备，配置告警模块，实时监控网络中所有网络设备的运行情况，及时查看告警日志，排除告警源故障根源；融合有线无线网络的网络拓扑结构，使用iMC上网络拓扑管理功能生成现网和割接网络融合的网络拓扑结构，使割接过程可视化，能迅速定位割接进度，直观了解割接前后网络变化。

考虑到用户的平滑过渡问题，减少用户认证操作；获取现有网络中无线SSID的数目及类型与新架构中的，无线SSID类型进行映射匹配。

获取现网无线终端中认证的用户信息，进行用户的迁移操作。

把现有设备上的用户登录信息按照要求进行分组迁移至iMC，用户迁移完成后进行认证部署，现无线网络主要使用802.1x认证，iMC上802.1x服务证书还是用现用的根证书和服务器证书。

由于现网无线用户使用的为802.1x认证进行认证入网的，认证服务器为思科的ACS，如果按照新规划的ssid进行无线网络的部署后，涉及到用户需要重新认证登录一次的问题，如果要做到在无线网络割接完成后用户不需要任何操作即能完成上线则需要以下几个条件作为保证：

1：iMC的用户名密码信息要与现网上的保持完全一致

2：iMC服务器上启用802.1x认证使用的服务器证书和根证书需要与现网上使用的为同一套证书系统，否则涉及到服务器证书和根证书的改动，客户端与新的iMC服务器需要重新交互证书信息，对用户的影响为用户需要在接入无线网络的时候进行一个输入用户名密码的操作，后续再接入无线网络则不需要再次进行用户名和密码的输入操作。

3：在割接后使用的SSID信息要与现网所使用的SSID信息保持一致，由于无线用户终端的无线网卡是以SSID信息来识别区分为不同的无线网络的，现在客户在办公区域无线覆盖环境中能自动接入公司的无线网络也是由于所使用无线客户端记录历史接入过的无线网络信息，以SSID标示；我们割接主要涉及到更换AC、POE交换机、AP、iMC服务器这些硬件信息，不改变用户使用无线终端接入无线网络后终端与接入设备之间和接入设备和认证服务器之间的认证关联报文的交互，如果割接后使用的SSID信息与现无线网络使用的SSID信息保持一致的话，用户使用无线终端接入割接后新的无线网络中后不改变用户无线终端上保存的配置参数，即用户能平滑过渡到新的无线网络中来；如果使用规划的SSID信息对外提供无线网络接入服务的话会造成用户使用的无线终端会把新的无线SSID识别成一个新的无线接入网络，对用户的影响为用户再使用无线终端接入新的SSID无线网络中需要输入用户名密码信息，后续再次接入则不需要。

在iMC上添加接入设备AC，正确设置接入设备信息，iMC上添加接入设备RADIUS参数与AC上radius scheme配置一致，确保iMC服务器和接入设备之间能顺利交互radius报文信息。

部署802.1x认证：在iMC上部署802.1x认证功能，按照用户角色进行服务申请，可以把接入用户分成不同的用户组进行服务的申请，根据需求设计灵活丰富的接入规则。

此过程需要在接入设备和iMC服务器侧开启802.1x认证的功能。

接入设备上配置按照现网设计，在正式割接前提供设备侧配置脚本信息。

根据规划上线AC设备和POE交换机设备，使割接楼层的AP上线，完善AC上配置信息，严格按照现网规划进行配置，割接楼层AP全部上线成功后暂时关闭AC上的service-template服务模板，准备割接。

此过程在所有POE交换机、无线AP以及iMC服务器部署完成以后，手工使AP全部上线，上线以后关闭service-template服务模板，暂时不对外提供无线接入服务，现网无线接入服务依旧是由思科无线设备提供。

待空闲时间开启AC上的service-template模板，随后下电现用思科的AP设备，原有思科的AP环境只做下电操作，其他的均不作任何改动，便于后期的必要时进行业务回退。

等到计划割接时间进行割接操作；割接时先把H3C AC上的service-template模板开启，同时对现有的无线AP设备进行下电操作，此后，割接楼层所有对外提供的无线接入服务均由H3C AP提供。此时可以使用无线终端进行接入业务的测试，

接入无线网络进行业务测试，使用无线终端，手机、pad，笔记本接入无线网络进行无线访问服务测试，记录测试现象，对比使用情况，完善割接信息。

测试主要使用笔记本、手机、pad等无线终端接入到无线网络中进行无线业务的测试，记录测试结果，对比割接前体验，记录差异。

以上所述仅为本发明的较佳实施例，并非对本发明做任何形式上的限制，凡在本发明的精神和原则之内，依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化与修饰，均仍属于本发明的保护范围之内。

虽然上面结合本发明的优选实施例对本发明的原理进行了详细的描述，本领域技术人员应该理解，上述实施例仅仅是对本发明的示意性实现方式的解释，并非对本发明包含范围的限定。实施例中的细节并不构成对本发明范围的限制，在不背离本发明的精神和范围的情况下，任何基于本发明技术方案的等效变换、简单替换等显而易见的改变，均落在本发明保护范围之内。