专利名称:在无线访问点上实现接入控制器功能的方法
技术领域:
本发明涉及一种在无线局域网中将接入控制器的功能结合到无线访问点上的方法。
上述现有的局域网组网方式对于中小企业、热点地区(hotspot)或某些行业应用非常不方便,同时由于接入控制器的价格都比较高,所以在经济上也会给运营者带来一些经济上的负担。
本发明的实现方法步骤如下(1)在无线访问点上既要实现通过生成树网桥模块STP Bridge对同一个局域网内的数据包进行转发,同时又要实现通过网络地址转换路由器NAT Router对局域网和广域网之间的数据包进行转发;(2)在无线访问点上安装能对用户进行身份认证和鉴权的模块;(3)在无线访问点内的网络地址转换路由器NAT Router模块的基础上对用户数据流量进行控制。
其中无线访问点的硬件要采用性能强大的微处理器,进一步扩充设备存储器和外围接口设备。
其在同一个局域网内进行转发的数据包通过生成树网桥模块STP Bridge进行转发时是根据生成树网桥模块STP Bridge中的网桥学习表的规则进行转发的。
其中无线局域网和广域网之间的数据包转发要通过网络地址转换NAT协议进行IP地址的转换。
在无线访问点上安装对用户进行身份验证和鉴权的模块对用户身份进行认证采用动态主机配置协议DHCP和WEB Portal相结合的方式。
在无线访问点上安装对用户进行身份验证和鉴权的模块对用户身份进行认证也可以采用IEEE 802.1x认证方式,它能够提供的动态密钥交换机制增强数据传输的安全性。
在网络地址转换路由器NAT Router模块的基础上的用户数据流量控制采用对数据包在排队前进行控制的机制。
其中对用户的数据流量进行控制的方法步骤如下(1)每个客户端定义七个相关参数;(2)数据包在排队前需要检查当前时段内已经发送的数据量是否大于用户上/下行速率所规定的数据量;(3)如果当前时段内已经发送的数据量不大于用户上/下行速率所规定的数据量,将该数据包加入到待发的数据包队列中等待发送;(4)如果当前时段内已经发送的数据量大于用户上/下行速率所规定的数据量,将该数据包做丢弃处理。
上述为每个客户端定义的七个相关参数是客户端的MAC地址macAddr;客户端的上行速率upRate;客户端的下行速率downRate;当前时段(1秒)内用户上行发送数据计数upCount;当前时段(1秒)内用户下行发送数据计数downCount;用户上行发送数据总计数upTotal;用户下行发送数据总计数downTotal。
其中当前时段(1秒)内用户上行发送数据计数upCount和当前时段内用户下行发送数据计数downCount的数值随着数据的发送而不断更新,在每个时段的周期开始时进行一次清零。
在该实现了接入控制器功能的无线访问点中,利用WDS技术,可以在实现了接入控制器功能的无线访问点和普通无线访问点之间采用完全无线的方式进行系统互连。当然也可以采用传统的有线方式进行连接互通。
采用了在无线访问点上实现接入控制器功能的方法后,所有的中小企业、热点地区以及某些需要使用无线局域网应用的行业只需要部署无线访问点设备,而无需另外在接入控制器上投资了。如果局域网覆盖对于布线有困难,还可以通过WDS系统进行完全无线方式的局域网覆盖。此外,在系统管理和维护上,也只需要集中在该智能化的无线访问点设备上即可,节省了系统维护费用,也便于网络维护人员对网络的管理。
图9是采用本发明所述的方法后采用无线分布系统连接无线访问点组成局域网的拓扑图。
首先在实现无线访问点功能的基础上,要采用性能更加强大的微处理器,扩充设备存储器和外围接口设备,例如一般无线访问点采用4M Flash闪存和8M同步动态随机存储器SDRAM,该发明可以扩充到8MFlash闪存和128M同步动态随机存储器SDRAM;而一般无线访问点使用1块802.11无线网卡和一个以太网卡,该发明可以使用2块802.11无线网卡和4个以太网卡,以扩大无线信道容量以及支持有线虚拟局域网VLAN。这样,采用该方法后的无线访问点不但保留了现有的无线访问点的功能,还完全具备了接入控制器需要的硬件条件。
在具备了硬件平台的基础上,实现该发明的关键在于软件功能的设计和集成。无线访问点已经具备的最基本的功能包括1.无线接入功能,其中包括对40bit WEP加密技术和128bit RC4加密技术的支持;2.带有生成树协议STP(Spanning Tree Protocol)的透明网桥STP Bridge;3.通过无线分布系统WDS实现访问点之间的无线互连,从而实现完全无线的网络系统。
利用无线访问点已有的功能和更加强大的处理器及更大的存储空间和外围接口,可以通过增加软件模块来扩展无线访问点的功能,并通过相应的方法使其能够在无线访问点上同时实现无线访问点和接入控制器的功能。
在无线访问点上需要增加的软件模块有网络地址转换NAT(Network Address Translation)模块和网络地址端口转换NAPT(Networks Address Port Translation)模块、用于身份认证的动态主机配置协议DHCP服务器模块和WEB服务器或IEEE 802.1x认证模块,其他的模块还有基于RADIUS的用户接入控制模块、基于流量控制的带宽管理模块、网络时间协议NTP(Network Time Protocol)模块,用以支持网络时间同步。
通常情况下,无线访问点是一个二层的桥接设备,通过生成树网桥STP Bridge对数据包进行桥接和转发,而接入控制器可以理解为一个三层或三层以上的起路由或网关作用的设备,通过网络地址转换路由器NAT Router对局域网和广域网之间的数据进行路由和转发,两者在对数据包转发的原理上采用了不同的包转发机制。因此,在无线访问点上实现接入控制器的功能时,我们需要同时实现二层和三层的包转发。二层无线网桥通过查询网桥学习表,确定二层的帧向哪个端口转发;而三层网关通过查询路由表,决定第三层的IP数据报如何转发。
如图2所示,是二层转发机制通过生成树网桥STP Bridge对数据包进行桥接和转发的原理图,由于数据流桥接和转发仍然是在局域网内部进行,因此基本上仍然是二层上的数据包转发,其中数据流1、2、3的转发与未采用本发明前的无线访问点转发机制相似,利用生成树网桥STP Bridge50对属于此同一无线访问点覆盖下的无线用户的数据包进行桥接和转发。如果有数据流4需要发送到广域网WAN或其他局域网,则要通过在同一无线访问点上实现三层上的路由转发功能。这一功能的实现靠在无线访问点内增加的网络地址转换路由器NATRouter51来实现,它对局域网和广域网之间的数据转发有路由和网关的作用,如图3是在无线访问点内通过网络地址转换路由器NATRouter51对发向广域网的数据进行路由的原理图;无论是从有线以太网还是从无线局域网发往广域网的数据包都必须经过网络地址转换路由器NAT Router51来进行路由和转发;同理在图4中由广域网发往局域网或以太网的数据包也必须通过网络地址转换路由器NATRouter51路由后,然后进入二层的生成树网桥STP Bridge50模块,由其对收到的数据包进行桥接和转发,再次发往对应的无线用户或有线用户终端。
在实现数据包双层转发的原理上,再次还要实现接入控制功能,而解决接入控制功能的两个关键问题在于用户的身份认证和用户的流量控制,即宽带管理。
如图5中在无线访问点中加入了动态主机配置协议DHCP Server模块52和WEB服务器53来实现用户的认证管理,采用DHCP+WebPortal的方式,提供用户上网帐号和密码,作为用户标识和认证凭据。这种认证方式只需要客户端有Web浏览器,不需要安装特殊的软件,使用起来比较方便,同时由于有网络地址转换协议NAT进行网络地址转换和数据包转发,因此只需要在访问点中实现动态主机配置协议DHCP服务器和Web服务器,即可方便的实现该种认证方法。
动态主机配置协议DHCP和Web Portal认证方式比较简单,但安全性不高;此时可以在无线访问点中加入IEEE802.1X认证软件模块54和Radius客户机程序55,实现802.1x认证方式,用户通过某种方式提供给用户证书或是智能卡(例如SIM卡),通过验证用户提供的证书或智能卡上的信息决定是否提供该用户所要求的服务,802.1x提供的动态密钥交换机制可以使无线客户的数据传输更安全。
接下来需要在无线访问点上实现用户数据流量控制功能,用户流量控制,即在用户已经通过认证和授权后,根据需要要对用户进行业务控制和数据流量采集、限制,同时提供记帐信息。用户流量控制既可以在数据包的二层生成树网桥转发机制上实现,也可以在三层路由转发机制中实现,基本原理就是控制网络接口的数据外发速率。由于在无线访问点中实现接入控制器功能需要控制的用户数据流量是接入Internet的数据流量,因此我们可以在三层网络地址转换NAT模块的基础上对用户数据流量进行控制。
用户数据流量控制是通过队列机制实现的。对于在无线访问点上实现接入控制器的功能而言,我们可以将无线局域网接口和以太网接口看作是下行端口,广域网WAN以太网接口看作是上行端口。
用户数据流量控制就是要控制用户通过设备接口发送出数据的速率,如果需要控制用户的上行数据速率,就需要控制用户发出并由设备转发向上行端口的数据发送速率,而如果需要控制用户的下行速率,则需要控制由设备转发向下行端口发往用户的数据发送速率。由于我们只能控制网络接口的发送速率,我们只能将流量控制功能插入到流程中的两个阶段即在数据包排队前或数据包排队后进行控制。考虑到如果在数据包排队后再进行流量控制,需要队列有足够大的容量才不至于轻易造成队列的溢出,而且也需要有额外的处理时间,因此采用在数据包排队前就进行流量控制。
无论数据包是从上行端口发往下行端口还是从下行端口发往上行端口,数据包在进入网络地址转换路由器NAT Router51进行排队前就要经过流量控制模块56进行数据流量控制,来控制数据的转发速度,如图6所示。
如图7所示,在步骤100中网络地址转换路由器NAT Router首先从上行或下行网络接口接收数据包,然后在步骤200中,网络地址转换路由器NAT Router会根据数据包的包头标志对接收到的数据包进行必要的过滤,保留需要转发的数据包,丢弃不合法的数据包;然后在步骤300中将数据包从上行链路或下行链路进行转发,在加入到待发的数据包排队前,首先在步骤400中为每个用户定义七个相关参数,其中包括客户端的MAC地址macAddr;客户端的上行速率upRate;客户端的下行速率downRate;当前时段(1秒)内用户上行发送数据计数upCount;当前时段(1秒)内用户下行发送数据计数downCount;用户上行发送数据总计数upTotal;用户下行发送数据总计数downTotal;增加流量控制的方法是,数据包在排队前需要检查当前时段(1秒)内用户已发送的上/下行数据量是否大于用户上/下行速率所规定的数据量,如果不是,才转到步骤600中将该数据包加入到待发队列中,然后在步骤700中将数据包向上行端口或下行端口进行发送;否则转到步骤800将该数据包做丢弃处理。其中upCount/downCount的数值随着数据发送过程而不断的更新,设置每个时段周期即1秒开始清一次零,这样可以保证每次检查到的数据总为刷新的数据,使用户数据流量得到精确的控制。
如图8所示是采用本发明所述的方法后采用有线方式连接无线访问点组成局域网的拓扑图。图中增加了接入控制器功能的无线访问点60通过有线的方式和其他无线访问点20进行连接,对不同无线访问点覆盖下的无线客户10之间的信息传递采取有线传输,从而组成一个无线接入系统,多个无线客户10所在的局域网和外部广域网之间的数据通信只需要在无线局域网出口处布线智能化了的无线访问点60即可,无需另外布线接入控制器了。然后智能化了的无线访问点60通过路由器40接入到广域网Internet中,实现局域网和广域网的结合。
如图9是采用本发明所述的方法后采用无线分布系统WDS(wireless distribution system)技术连接不同无线访问点组成完全无线互连的局域网拓扑图,在无线客户10和广域网之间的数据通信也只需在无线局域网出口处布线智能化了的无线访问点60即可,该智能化了的无线访问点60具有以下三个作用(1)对无线客户进行接入控制、认证计费;(2)作为无线访问点,对无线客户进行覆盖;(3)作为无线局域网的一个节点,通过无线分布系统WDS和其他无线访问点连接。
该局域网通过实现了接入控制器功能的无线访问点和普通无线访问点之间利用无线分布系统WDS技术,即可非常方便地组建一个无线接入系统。在该系统中,实现了接入控制器功能的无线访问点需要具备非常强大的数据处理能力,是整个无线局域网的控制中枢,而基于WDS技术组成的无线局域网要求网络要有11M带宽的数据传输能力,所以为了使实现了接入控制器功能的无线访问点和普通无线访问点之间利用无线分布系统WDS技术所组成的局域网能够有更好的网络性能,在数据传输速度上建议采用IEEE802.11协议的最高传输速度54Mbps,从而达到更好的网络性能。而且,整个网络系统不需要有线线缆(可以扩充有线网络,但不是必需的),因此对于系统组网、系统维护和管理、网络的扩展性都非常有利。此外该智能化了的无线访问点再次接入路由器40,由其接入Internet便可实现仅通过智能化了的无线访问点60就使无线局域网和广域网有机的结合。
权利要求
1.一种在无线访问点上实现接入控制器功能的方法,其具体实现方法如下(1)在无线访问点上既要实现通过生成树网桥模块STP Bridge对同一个局域网内的数据包进行转发,同时又要实现通过网络地址转换路由器NAT Router对局域网和广域网之间的数据包进行转发;(2)在无线访问点上安装能对用户进行身份认证和鉴权的模块;(3)在无线访问点内的网络地址转换路由器NAT Router模块的基础上对用户数据流量进行控制。
2.根据权利要求1所述的在无线访问点上实现接入控制器功能的方法,其特征在于,无线访问点的硬件要采用性能强大的微处理器,进一步扩充设备存储器和外围接口设备。
3.根据权利要求1所述的在无线访问点上实现接入控制器功能的方法,其特征在于,其在同一个局域网内进行转发的数据包通过生成树网桥模块STP Bridge进行转发时是根据生成树网桥模块STPBridge中的网桥学习表的规则进行转发的。
4.根据权利要求1所述的在无线访问点上实现接入控制器功能的方法,其特征在于,无线局域网和广域网之间的数据包转发要通过网络地址转换NAT协议进行IP地址的转换。
5.根据权利要求1所述的在无线访问点上实现接入控制器功能的方法,其特征在于,在无线访问点上安装对用户进行身份验证和鉴权的模块对用户身份进行认证采用动态主机配置协议DHCP和WEBPortal相结合的方式;在无线访问点上安装对用户进行身份验证和鉴权的模块对用户身份进行认证采用IEEE 802.1x协议提供的动态密钥交换机制。
6.根据权利要求1所述的在无线访问点上实现接入控制器功能的方法,其特征在于,在网络地址转换路由器NAT Router模块的基础上的用户数据流量控制采用对数据包在排队前进行控制的机制。
7.根据权利要求6所述的在无线访问点上实现接入控制器功能的方法,其特征在于,对用户的数据流量进行控制的方法步骤入下(1)为每个客户端定义七个相关参数;(2)数据包在排队前需要检查当前时段内已经发送的数据量是否大于用户上/下行速率所规定的数据量;(3)如果当前时段内已经发送的数据量不大于用户上/下行速率所规定的数据量,将该数据包加入到待发的数据包队列中等待发送;(4)如果当前时段内已经发送的数据量大于用户上/下行速率所规定的数据量,将该数据包做丢弃处理。
8.根据权利要求7所述的在无线访问点上实现接入控制器功能的方法,其特征在于,为每个客户端定义的七个相关参数是(1)客户端的MAC地址macAddr;(2)客户端的上行速率upRate;(3)客户端的下行速率downRate;(4)当前时段内用户上行发送数据计数upCount;(5)当前时段内用户下行发送数据计数downCount;(6)用户上行发送数据总计数upTotal;(7)用户下行发送数据总计数downTotal。
9.根据权利要求8所述的在无线访问点上实现接入控制器功能的方法,其特征在于,其中当前时段内用户上行发送数据计数upCount和当前时段内用户下行发送数据计数downCount的数值随着数据的发送而不断更新,在每个时段的周期开始时进行一次清零。
10.根据权利要求1所述的在无线访问点上实现接入控制器功能的方法,其特征在于,加入接入控制器功能的无线访问点和普通无线访问点之间采用无线分布系统WDS技术进行连接互通,从而实现从接入控制点以下的完全无线接入系统。
全文摘要
本发明提供了一种在无线访问点上实现接入控制器功能的方法,通过在无线访问点上增加相应的用户认证、路由转发、网络地址转发NAT和流量控制模块,使网络数据包的二层转发和三层转发能同时在无线访问点上实现,同时使用户认证过程和数据流量控制过程都能在此无线访问点上实现。采用本发明的方法后,在中小企业、热点地区以及某些需要使用无线覆盖和宽带接入应用的行业部署无线局域网时,只需要部署加入了接入控制器功能的无线访问点设备;同时还节省了系统管理和维护费用,对于系统组网、系统维护和管理、网络的扩展性都非常有利。
文档编号H04L12/14GK1426201SQ02155498
公开日2003年6月25日 申请日期2002年12月16日 优先权日2002年12月16日
发明者王炜, 魏庆新, 杨煜 申请人:北京朗通环球科技有限公司