提供无线局域网作为服务的系统和方法

提供无线局域网作为服务的系统和方法
【专利摘要】本发明提供了一种无线局域网（WLAN）系统。所述系统包括WLAN网络控制器以及多个访问接入点。所述WLAN网络控制器经由传输数据网络与所述多个访问接入点的每个通信。所述WLAN网络控制器设置为执行对所述多个访问接入点有益的一种或多种网络控制功能。所述网络控制功能可选自管理与操作、客户端认证、移动性、以及每用户管理。所述WLAN网络控制器相对于所述多个访问接入点位于远程位置并进行远程操作。
【专利说明】提供无线局域网作为服务的系统和方法
[0001]分案申请说明
[0002]本申请是申请号为201080005114.5、申请日为2010年I月18日、发明名称为“提
供无线局域网作为服务的系统和方法”的分案申请。
【技术领域】
[0003]本发明涉及无线局域网。更具体地，本发明涉及一种将无线局域网的使用作为服务提供给需要该网络的场地业主的系统。
【背景技术】
[0004]十多年来,无线局域网(WLAN, Wireless Local Area Network)最初在企业场所，随后在住宅及户外公共场所被成功部署。企业WLAN系统已经从a)单一访问接入点(AP，Access Point)向b)通常经由以太网互联至传统的交换机/路由器的多个自主AP演进,最近演进至:c)首先将AP连接至特制的现场WLAN控制器，然后连接至路由器。
[0005]这些现场(on-site)控制器通常由信息技术(IT, Information Technology)管理者部署在企业的布线室内。在无线设备访问任何核心有线网络服务之前，所述控制器通过对无线设备进行认证将非安全WLAN流量与安全有线网络分离。它们通过将任何“偏离最大限度(off the ceiling)”的敏感信息(即AP所处位置)移至设备室来保证物理安全。它们经常为AP提供中心安全电源。它们在AP间提供移动性。最重要的是，它们允许集中管理所有WLAN操作方面，例如安全、权限、升级、资源分配、性能监控等。
[0006]最近，随着许多IT功能外包给服务供应商，以及提供基于网络的(web-based)服务与应用的发展趋势，现场网络控制器给这样的服务供应商带来了障碍。因此，需要一种提供WLAN能力以及WLAN功能作为远程操作服务的系统和方法。

【发明内容】

[0007]一方面，本发明提供一种无线局域网(WLAN)系统。所述系统包括WLAN网络控制器以及多个访问接入点。所述WLAN网络控制器经由传输数据网络与所述多个访问接入点的每个通信。所述WLAN网络控制器与至少一个附加服务器通信，所述至少一个附加服务器与所述多个访问接入点中的一个位于同一处。所述至少一个附加服务器设置为使所述多个访问接入点的每个都能访问企业目录数据库。所述企业目录数据库包括与所述WLAN系统的授权用户相关的信息。所述WLAN网络控制器经由安全数据链路与至少一个附加服务器计算机通信。
[0008]所述多个访问接入点的每个可设置为自动建立与WLAN网络控制器的连接。所述多个访问接入点的每个可自主选择通信信道，所述通信信道能够使各自的访问接入点与至少一个客户端设备通信。自主选择通信信道时需要选择具有可接受数量的自身网络干扰以及可接受数量的外部网络干扰的信道。
[0009]可为所述多个访问接入点的每个分配各自的唯一标识。所述WLAN网络控制器进一步设置为利用所述各自的唯一标识来认证对应的访问接入点。所述各自的唯一标识可包括与对应的访问接入点相关的MAC地址以及与对应的访问接入点相关的序列号中的至少之一，或者其他类似标识。
[0010]所述多个访问接入点的每个进一步设置为从WLAN网络控制器下载网络参数。所下载的网络参数可包括至少一个功率电平以及至少一个信标设置。可预先确定所下载的网络参数以便能够操作WLAN系统。所述多个访问接入点的每个能够经由有线连接或无线网状连接中的任何一种与传输数据网络通信。
[0011]所述WLAN网络控制器可进一步设置为提供对所述WLAN系统的安全私有访问和非安全公共访问。所述WLAN网络控制器可进一步设置为通过指示至少一个预先确定的访问接入点传输访问者信标并利用虚拟局域网或流量隧道将与所传输的访问者信标相关联的访问者终端的流量与WLAN的其余部分分离来提供非安全公共访问。
[0012]所述WLAN网络控制器可进一步设置为使现场管理员执行管理门户功能；其中，所述管理门户功能包括至少一种预先确定的每用户管理任务。所述至少一种预先确定的每用户管理任务可包括激活新用户以及提供游客访问中的至少一种。
[0013]所述WLAN网络控制器可进一步设置为执行附加服务器功能中的至少一种。所述WLAN系统可进一步包括本地处理器。所述本地处理器与所述多个访问接入点的每个耦合并经由所述传输数据网络与所述WLAN网络控制器通信。所述本地处理器可设置为执行至少一种预先确定的处理功能。
[0014]另一方面，本发明提供了一种提供无线局域网(WLAN)能力作为服务的方法。所述方法包括下列步骤:识别属于WLAN的多个访问接入点；经由传输数据网络从位于远程位置的WLAN网络控制器与所述多个访问接入点的每个通信；通过执行对所述多个访问接入点有益的至少一种网络控制功能来远程操作所述WLAN ;以及连接至至少一个附加服务器计算机，所述至少一个附加服务器计算机与所述多个访问接入点的其中一个位于同一处并设置为使所述多个访问接入点的每个都能访问企业目录数据库。所述企业目录数据库包括与所述WLAN的授权用户相关的信息。所述WLAN网络控制器经由安全数据链路与至少一个附加服务器计算机通信。
[0015]所述方法进一步包括自动下载管理与操作参数到所述多个访问接入点的每个的步骤。所述管理与操作参数包括至少一个射频发射功率电平以及至少一个信标设置。所述管理与操作参数在WLAN网络控制器中是可配置的。
[0016]所述方法进一步包括自动下载至少一个软件图像到至少一个选定的访问接入点的步骤。所述至少一个选定的访问接入点能够将所述至少一个软件图像存储在第一操作库中并从第二操作库在WLAN上运行。所述WLAN网络控制器能够控制所述第一以及第二操作库。
[0017]所述方法可进一步包括从所述多个访问接入点的每个接收与选定的本地操作参数对应的信息的步骤，所述步骤包括下列中的至少一种:接收与故障条件相关的操作报警；接收与业务吞吐量以及负载相关的信息；接收与自身网络干扰或外部网络干扰相关的信息；接收与无线电覆盖范围相关的信息。所述方法可进一步包括将阈值运用于到来的操作报警的步骤。所述方法可进一步包括记录与所接收的信息对应的参数的步骤。
[0018]所述方法可进一步包括通过向至少一个访问接入点传输消息来向WLAN网络认证客户端设备的步骤，所述消息包括与认证相关的信息。所述认证步骤进一步包括利用预先确定的隧道协议通过传输数据网络对客户端设备MAC地址进行隧道传输。可利用在至少一个访问接入点中执行的动态主机配置协议(DHCP)监听操作来确定所述客户端MAC地址。
[0019]所述方法可进一步包括为所述多个访问接入点的每个分配各自的唯一标识的步骤；以及利用所述各自的唯一标识来认证对应的访问接入点的步骤。所述各自的唯一标识可包括与对应的访问接入点相关的MAC地址或与对应的访问接入点相关的序列号，或任何其他类似标识。
[0020]所述方法可进一步包括对所述WLAN系统提供安全私有访问和非安全公共访问的步骤。对所述WLAN系统提供非安全公共访问的步骤进一步包括:指示至少一个预先确定的访问接入点传输访问者信标，并利用虚拟局域网或流量隧道将与所传输的访问者信标相关联的访问者终端的流量与WLAN的其余部分分离。所述方法可进一步包括使所述多个访问接入点的预先确定的一个的用户来执行管理门户功能的步骤，从而使预先确定的访问接入点的用户能够管理所述至少一种网络控制功能。
【专利附图】

【附图说明】
[0021]图1为根据本发明优选实施例的使用远程网络控制器的无线局域网(WLAN)的框图；
[0022]图2为根据本发明优选实施例的利用由发送至访问接入点的认证消息控制的条件访问控制交换机在图1的WLAN内通信的框图；
[0023]图3为根据本发明优选实施例的利用用于认证流量的隧道协议在图1的WLAN内通信的框图；
[0024]图4为根据本发明优选实施例的利用用于数据流量的隧道协议在图1的WLAN内通信的框图；
[0025]图5为根据本发明优选实施例的利用安全维护在企业防火墙后的目录数据库在图1的WLAN内通信的框图。
【具体实施方式】
[0026]最近，随着许多IT功能外包给服务供应商，以及提供基于Web的服务与应用的发展趋势，本发明人已经认识到存在“外部化” WLAN控制器功能的机会。这种趋势也顺应近来集中“云计算”的举动；其中，许多IT相关能力被“作为服务”来从互联网提供，而无需客户了解、专长于或控制支持所述能力的技术基础设施。从历史角度来说，这种演进与企业语音电话系统的演进相似，所述企业语音电话系统起初使用预制式(on-premise)的专用自动交换机(PABX, Private Automatic Branch Exchange)以及电子按键电话系统(EKTS,Electronic Key Telephone Systems)。随后，电话公司也开始利用虚拟小交换机软件以及功能电话从网络内部输送功能丰富的业务。
[0027]无线局域网(WLAN)中，有线或无线的服务供应商具有这样的机会:拥有WLAN设备，在企业内部署WLAN设备，以及远程操作并维护该设备，这些都是按月收费的。一般来说，将基于所覆盖的区域，所提供的性能等每月支付固定的费用，因此使有区别的青铜/银/金“使用费”计划(“tariff” scheme)成为可能。这种方法为企业消除了前期资本成本。这种方法的另一个好处是将信息技术(IT)管理者从部署以及操作无线系统的复杂工作中解放出来，并消除了与设备故障、性能缺陷以及不断升级相关联的风险和运行成本。服务供应商按要求对WLAN操作及性能进行每周七天，每天24小时的连续网络监控，排除故障，维修或更换访问接入点(AP)。服务供应商添加或升级设备以满足顾客服务协议中规定的商定覆盖范围以及容量规格。
[0028]这一新“托管"WLAN服务为服务供应商提供了参与企业数据业务的机会，从而产生一种新的增值收益流。通过对多个客户集中操作，与直接购买的成本相比，服务供应商通常能够以非常具有成本竞争力的价格来提供服务。
[0029]在根据本发明优选实施例的系统中，体系架构也允许间接附加层，其中，第三方，例如设备销售商或系统集成商，为服务供应商提供托管在自己的计算平台上的网络控制器以及应用软件。反过来，服务供应商直接与场地业主进行交易。
[0030]根据本发明优选实施例，这些WLAN网络能够使企业内的用户群进行安全私有访问以及使漫游访问者随时访问企业。在后一种情况下，对访问者来说，网络似乎是与服务供应商在其他各种各样的公共区域提供的热点一致的公共“热点”。这种公共访问为部署管理网络的服务供应商提供附加收益流。
[0031]功能
[0032]控制器
[0033]在本发明优选实施例中，参照图1，无线局域网(WLAN) 100包括访问接入点(AP)115以及经由传输数据网络120与AP115连接的非现场(off-site) WLAN网络控制器105。所述WLAN控制器105位于服务供应商网络100的中心。所述网络控制器105执行通常由用于传统WLAN的预制式WLAN控制器执行的所有功能；并且所述网络控制器105还可执行附加功能。该“托管”网络控制器105可由服务供应商拥有并操作；可替代地，所述控制器105甚至可外包给提供所述控制器105和/或管理应用软件的第三方，反过来，所述控制器105和/或管理应用软件由服务提供商进行操作。
[0034]客户端设备125经由一个或多个APl 15与WLAN网络100连接。所述网络100也经由网络控制器150与互联网130连接，或直接经由传输数据网络120与互联网130连接。
[0035]利用一台或多台通用计算机,例如戴尔PowerEdge服务器或惠普ProLiant DL月艮务器优选地实现所述网络控制器105。所述客户端设备125通常为个人计算机，例如笔记本电脑或掌上电脑/个人数字助理(PDA,Personal Digital Assistant)设备。所述网络控制器105，所述AP115，以及所述客户端设备125中的每一个都可包括微处理器。所述微处理器可以是任何类型的处理器，例如任何类型的通用微处理器或微控制器，DSP处理器(DSP:Digital Signal Processing,数字信号处理)，专用集成电路(ASIC, Application-SpecificIntegrated Circuit),可编程只读存储器(PROM, Programmable Read-Only Memory),可擦可编程只读存储器(EPROM, Erasable Programmable Read-Only Memory)等。所述网络控制器105，所述AP115，以及所述客户端设备125中的每一个还可包括计算机存储器，例如随机存取存储器(RAM，Random-Access Memory)或电可擦可编程只读存储器(EEPR0M，Electrically-Erasable Programmable Read-Only Memory)/闪存。然而，所述网络控制器105的计算机存储器可以是任何类型的计算机存储器或任何其他类型的位于所述网络控制器105内部或外部的电子存储介质，例如只读存储器(ROM，Read-Only Memory)，光盘只读存储器(CDROM, Compact Disc Read-Only Memory),电光存储器,磁光存储器，EEPROM 等。
[0036]根据示例性实施例，各自的RAM或EEPROM可包含，例如，用于所述网络控制器105，所述AP115以及所述客户端设备125之中任何一个的操作程序。基于下列描述将意识到，例如，所述RAM可利用计算机编程领域普通技术人员了解的常规技术进行编程。用来执行例如计算机程序的步骤的实际源代码或目标代码可储存在RAM中。所述网络控制器105，所述AP115，以及所述客户端设备125中的每一个还可包括数据库。所述数据库可以是任何类型的用来保存、维护、以及允许访问其中所保存的电子信息的计算机数据库。
[0037]网络控制器105功能分为四个主要部分。第一部分包括通常由服务供应商执行的物理网络资源的管理与操作。第二部分包括提供客户端认证功能，以限制网络接入授权用户。第三部分包括提供跨位置(通常也被称为“跨子网路”)移动性。第四组功能包括管理所有其余的“每用户(per-user)”功能，该功能通常由现场IT人员执行。
[0038]管理与操作
[0039]所述网络控制器105执行各种配置、故障监控以及性能监控功能，包括下列情况:
[0040]?在上电/重新启 动(power cycle)时自动下载所有需要的配置信息到AP115,包括，例如:
[0041]O功率电平
[0042]ο信标(服务集标识或SSID)设置
[0043]?在无现场人员干预的情况下将AP115升级至最新软件负载
[0044]?远程调试所有APl 15
[0045]?连续实时监控网络运行
[0046]ο定期接触所有AP115以确保它们正常工作
[0047]ο实时监控来自APl 15的所有报警
[0048]ο参数到达阈值时进行报警
[0049]ο记录事件
[0050]?远程诊断所有AP115
[0051 ].连续实时监控网络性能，包括，例如，
[0052]ο吞吐量和负载
[0053]ο干扰一来自自身的以及外部的网络及设备
[0054]ο覆盖范围
[0055]ο所有可阈值化报警信号
[0056]ο维护所有选定参数的记录
[0057]客户端认证
[0058]所述网络控制器105为集中化客户端设备提供条件访问(conditional access)来支持用户认证，从而简化操作并能够对具有数千用户的大型网络进行测量。所述认证可用来根据需要提供对网络的私有访问及公共访问。
[0059]移动性
[0060]当APl 15或APl 15的群组位于不同建筑物时，相同WLAN网络内的不同APl 15可经由不同路由器以及不同IP子网，与传输网络120连接。为了方便第二层(Layer-2)(如W1-Fi)设备在子网间移动，必须将第二层MAC地址信息传递给中心网络控制器105。[0061]每用户管理员访问
[0062]在本发明优选实施例中，可包括管理员门户，以便于使现场人员执行任何所要求的每用户管理任务。这样的任务可包括激活新WLAN用户并提供对WLAN的游客访问(guestaccess)。所述管理员门户优选实现为:运行在所述网络控制器105上的，可使现场管理员经由传统Web浏览器访问的基于Web的应用。
[0063]利用管理员门户110，现场管理员可配置专门的企业账户和设置，包括如下信息:
[0064].网站名称和地址
[0065]?网络信标(如SSIDs) —广播或隐藏
[0066]?注册用户列表
[0067]?其他配置文件
[0068]附加功能
[0069]可由网络控制器105执行的附加功能包括如下:
[0070]?每用户带宽速率限制
[0071]?流量优先级
[0072]?内容过滤
[0073]?客户端对客户端隔离
[0074]?入侵监测与保护
[0075].AP负载平衡
[0076]所述网络控制器105通常与附加网络服务器连接，例如:
[0077]?用于认证过渡页(splash page)、广告等的网络服务器(Web server) 150
[0078]?用于认证、授权、计费(AAA, Authentication, Authorization, and Accounting)的远程认证拨号用户服务(RADIUS,Remote Authentication Dial In User Service)服务器135
[0079]?用于自动客户端互联网协议(IP)地址分配的动态主机配置协议(DHCP，DynamicHost Configuration Protocol)服务器 145
[0080]?用于互联网名称解析的域名服务(DNS, Domain Name Service)服务器140
[0081]?计费服务器
[0082].追踪账户和故障单信息的客户关系管理(CRM, Customer RelationshipManagement)服务器
[0083]?离线处理数据的数据库(如结构化查询语言(SQL, Structure QueryLanguage))以及交互接口(如逗号分隔值(CSV, Comma-Separated Values)文件)
[0084]任何或所有这些服务器都可集成到所述网络控制器105中，以使部署小型化，从而简化此类部署并降低此类部署的成本。
[0085]为使非IT人员，例如电工，容易安装，只需要对现场AP115提供电力。在这种情况下，利用无线网状网无线连接，AP115互连形成一条先回到有线连接点再回到网络100的路径。
[0086]在本发明优选实施例中，APl 15允许下列情况的每一种情况发生:
[0087]?回到有线连接点，再回到网络100的AP115的有线以及无线连接。若存在有线连接则可自动选择有线连接，若AP115能够使用无线网状连接，则优先使用AP115间的无线网状连接
[0088]?操作参数的全自动配置，包括信道选择以最大程度减少自身以及相邻网络干扰
[0089]?所述网络控制器105全自动发现
[0090]?每个AP115都具有由服务供应商分配的唯一标识(如存储在如图2所示的媒体访问控制(MAC, Media Access Control)地址服务器155的序列号或MAC地址),所述标识用来在所述网络控制器105上电时认证AP115
[0091].自动下载所有运行配置参数，包括功率电平，信标(SSID)设置等
[0092].APl 15可具有双记忆库，因此在AP通过其中一个记忆库连续执行操作的同时允许另一个记忆库从控制器接收下载数据
[0093]?随后可通过简单切换活动记忆库在预定维护窗口进行升级体系架构
[0094]参照图1，根据本发明优选实施例，AP115直接(如经由数字用户线(DSL，DigitalSubscriber Line)或电缆调制解调器)与传输数据网络120连接，或当每个位置都具有多个AP115时，经由预制式交换机(未示出)与传输数据网络120连接。一般来说，数据流量可经由传输数据网络120，随后经由互联网130直接路由至其目的地，尽管，对某些应用来说，出于移动性的考虑，数据流量可能会通过网络控制器105被“拉长”，下面将会进一步描述。
[0095]每个AP115实行条件访问功能，因此直到用户客户端设备被认证时用户流量才可被传输到网络100上。条件访问功能与IEEE802.1x认证器设备执行的功能相似。在本发明优选实施例中，无论执行的认证属于什么类型，都可执行条件访问功能。存在几种不同的可被使用的认证方案，包括=MAC地址“白名单”认证，网页重定向认证，以及IEEE802.1x (用户名/密码)认证。
[0096]参照图2，在本发明优选实施例中，AP115执行条件访问功能，忽略来自客户端(也被称为“请求者”)的所有数据包，直至所述网络控制器105通知用户的认证成功，此时，利用APl 15将数据流量传输到网络100上。对于采用MAC认证的情况，MAC地址被从服务器155转发至网络控制器105以供验证，下面将会进一步描述。对于网络重定向以及802.1x认证的情况，无论网络控制器105使用哪种认证方法,可使用可扩展认证协议(EAP, ExtensibleAuthentication Protocol)中使用的或定制超文本标记语言消息中使用的消息来在APl 15以及网络控制器105之间进行通信。802.1x RADIUS服务器160以及Web服务器150通过网络控制器105进行集中连接。另外，相同的方法可与各种其他认证方案一起扩展使用。各种方案需要满足私有以及公共网络访问控制的需求。
[0097]参照图3，可用几种方式将MAC认证所需的客户端MAC地址信息传递至集中网络控制器105，包括DHCP监听，其允许对收到的MAC地址进行检查，或利用隧道传输方式。任何这些通信方式都可用来使MAC地址信息穿过网络100回至网络控制器105。隧道传输可通过各种协议的任何一种进行，包括第二层隧道协议(L2TP, Layer2Tunneling Protocol),通用路由封装(GRE, Generic Routing Encapsulation)或其他相似技术。例如,在使用L2TP的情况下，AP115执行L2TP访问控制(LAC，L2TP Access Control)功能，而网络控制器105执行L2TP网络服务器(LNS，L2TP Network Server)功能。通常情况下，隧道协议提供的额外好处是:在AP115以及网络控制器105间提供加密链路。
[0098] 参照图4，对于要求客户端在AP115间或网络位置间移动的情况，可进一步采用隧道协议来在隧道端点(TEP，Tunnel End Point)间转发来自AP115的所有客户端MAC地址。在这种配置中，优选地所有流量都经隧道传输至网络控制器105。网络控制器105利用标准的基于MAC地址的转发技术,例如快速生成树协议(RSTP, Rapid Spanning TreeProtocol)，来确保数据包转发至适当的交换机端口，以便传输至适当的位置以及AP115。无论用于将这些位置的每个与传输数据网络120互连的IP路由配置如何，都不要求客户端设备的IP地址随着客户端从一个AP115或一个网络位置移至另一个AP115或另一个网络位置而发生变化。然而，测量大型第二层转发网络要求对几个方面进行适当考虑，包括MAC地址表的大小，桥接配置和认知，广播过滤以及其他相关因素。
[0099]在本发明优选实施例中，被用作网络控制器105的计算机硬件一般选自各种行业标准计算平台，其可在大型网络中为隧道端点进行硬件加速。关键属性包括:
[0100]?机架式网络计算设备
[0101]?可选的硬件加速，例如用于隧道端点加密功能
[0102]?高速核心网络接口，例如，IOGig以太网
[0103]?本地lO/lOO/lOOOBaseT以太网以及其他行业标准计算接口，例如外围组件互连(PCI, Peripheral Component Interconnect)以及通用串行总线(USB, UniversalSerial Bus)
[0104]?行业标准操作系统软件，例如Windows, Linux以及Solaris
[0105]对于网络100的大小不值得投资完全集中的网络控制器105的情况一例如小供应商，高度本地化的部署，或企业与网络不充分连接一所有相同的功能都可由本地现场版的网络控制器105提供。 这样的本地网络控制器105仍可被服务供应商远程访问并操作。
[0106]在超大型网络100中，网络控制器105功能可分配为:底层(low level)功能,例如数据采集，可利用现场设备执行；每站点(per-site)设备的顶层协调和分析可在远程网络控制器105处集中进行。举例来说，其具体实例是DHCP客户端IP地址分配功能在AP115内部本地执行，以便减少需要穿过整个网络的唯一地址的数量。在这个实例中，网络地址转换(NAT, Network Address Translation)功能也在AP内执行以便隔离本地地址。
[0107]参照图5，分配网络控制器功能的另一实例在框图中示出，所述框图展示了网络控制器使用一个或多个企业目录数据库180来维护无线网络授权用户的信息。在许多企业中，服务器例如轻量目录访问协议(LDAP, Lightweight Directory Access Protocol)以及活动目录(AD,Active Directory)被稳定维护在企业防火墙170后并用来维护现有网络的授权用户列表。所述网络控制器被当作是企业值得信赖的合作伙伴并获准远程访问企业目录，例如利用活动目录联邦服务。利用这些服务，所述网络控制器105可利用安全数据链路而不用复制位于服务供应商的中心位置的数据库目录来对企业目录数据库180进行远程访问。所述数据库目录180可位于多个分支机构所在地中的任何一个或位于一个集中总部所在地并被网络控制器105用来在所有位置进行授权访问。
[0108]尽管上述面已对本发明的特别优选实施例进行了阐述，但是应理解上述描述仅仅是对所公开发明的阐述而不是限制本发明。尽管本发明显示并阐述了本发明优选实施例，但对本领域技术人员显而易见的是这些实施例仅以实例方式进行提供。在不背离本发明的情况下本领域技术人员会想到各种变化、改变以及取代。
【权利要求】
1.一种无线局域网WLAN控制系统，其特征在于，包括: WLAN网络控制器；以及在WLAN现场的多个访问接入点，所述WLAN网络控制器(i)位于不在WLAN现场的服务供应商处，以及(ii )经由有线传输数据网络与在WLAN现场的所述多个访问接入点的每个通信，针对在WLAN现场的所述多个访问接入点的基本所有的WLAN网络控制功能是由所述WLAN网络控制器提供的且位于WLAN的外部，所述基本所有的WLAN网络控制功能至少包括:(i)物理网络资源的管理与操作，(ii)提供客户端认证功能，以限制网络接入授权用户，(iii)提供跨子网络移动性，以及(iv)每用户功能的管理，并且其中，所述多个访问接入点不布置在所述服务供应商位置处；并且其中，所述WLAN网络控制器经由所述有线传输数据网络与至少一个附加服务器通信，所述至少一个附加服务器(i)与在WLAN现场的所述多个访问接入点中的至少一个位于同一处并(ii)设置为访问企业目录数据库，所述企业目录数据库包括与所述WLAN系统的授权用户相关的信息；并且其中，不在现场的WLAN网络控制器经由安全数据链路与所述至少一个附加服务器计算机通信。
2.根据权利要求1所述的系统，其特征在于，所述不在现场的WLAN网络控制器设置为自动下载配置信息到所述多个访问接入点。
3.根据权利要求1所述的系统，其特征在于，所述不在现场的WLAN网络控制器设置为执行以下附加功能:(I)每用户带宽速率限制，(2)流量优先级；(3)内容过滤，和(4)入侵监测。
4.根据权利要求1所述的系统， 其特征在于，所述多个访问接入点的每个设置为经由所述有线传输数据网络自动建立与所述不在现场的WLAN网络控制器的连接。
5.根据权利要求1所述的系统，其特征在于，所述多个访问接入点的每个设置为自主选择通信信道，所述通信信道使每个所述访问接入点与至少一个客户端设备通信，所述自主选择通信信道包括选择具有(i )预定量的自身网络干扰和(ii )预定量的外部网络干扰的信道。
6.根据权利要求1所述的系统，其特征在于，所述多个访问接入点的每个具有各自的唯一标识，并且其中所述不在现场的WLAN网络控制器设置为利用所述各自的唯一标识来认证对应的访问接入点。
7.根据权利要求6所述的系统，其特征在于，所述各自的唯一标识包括MAC地址与序列号这两者中的至少之一。
8.根据权利要求1所述的系统，其特征在于，所述多个访问接入点的每个设置为从所述不在现场的WLAN网络控制器下载网络参数，其中所下载的网络参数包括至少一个功率电平以及至少一个信标设置。
9.根据权利要求8所述的系统，其特征在于，所下载的网络参数是预先确定的以便能够实现所述WLAN系统的操作。
10.根据权利要求1所述的系统，其特征在于，所述多个访问接入点的每个设置为经由有线连接或无线网状连接这两者中的至少一种与所述传输数据网络通信。
11.根据权利要求1所述的系统，其特征在于，所述多个访问接入点的每个设置为提供对所述WLAN系统的安全私有访问和非安全公共访问。
12.根据权利要求11所述的系统，其特征在于，所述多个访问接入点的每个设置为通过以下方式来提供对所述WLAN系统的非安全公共访问:指示至少一个预先确定的访问接入点传输访问者信标，并利用虚拟局域网和流量隧道这两者中的至少一种将与所传输的所述访问者信标相关联的访问者终端的流量与所述WLAN的其余部分分离。
13.根据权利要求1所述的系统，其特征在于，所述多个访问接入点的每个设置为使现场管理员执行包括至少一种预先确定的每用户管理任务在内的管理门户功能，其中所述至少一种预先确定的每用户管理任务包括以下至少之一:激活新用户、提供游客访问。
14.根据权利要求1所述的系统，其特征在于，所述多个访问接入点的每个设置为执行附加服务器功能中的至少一种。
15.根据权利要求1所述的系统，其特征在于，所述WLAN系统进一步包括本地处理器，并且其中，所述本地处理器与所述多个访问接入点的每个耦合并经由所述传输数据网络与所述不在现场的WLAN网络控制器通信。
16.一种提供无线局域网WLAN控制能力作为服务的方法，其特征在于，所述方法包括下列步骤: 识别(i)属于WLAN所有者并且(ii)在WLAN现场的多个访问接入点； 服务供应商，不同于所述WLAN网络所有者，在远程位置经由有线传输数据网络从不在现场的WLAN网络控制器与所述多个访问接入点的每个通信，所述不在现场的WLAN网络控制器布置在服务供应商位置处，所述服务供应商远离(i )所述WLAN和(ii )多个现场访问接入点，所述多个现场访问接入点不布置在所述服务供应商处且不在WLAN网络控制器位置的现场；并且所述服务供应商通过执行对所述多个现场访问接入点有益的基本所有的网络控制功能来远程地操作所述WLAN，基本所有的WLAN网络控制功能在所述WLAN的外部执行，所述基本所有的WLAN网络控制功能至少包括:(i)物理网络资源的管理与操作，(ii)提供客户端认证功能，以限制网络接入授权用户，(iii)提供跨子网络移动性，以及(iv)每用户功能的管理；并且 所述服务供应商将所述不在现场的WLAN网络控制器连接到至少一个附加服务器计算机，所述至少一个附加服务器计算机(i)与所述多个现场访问接入点中的至少一个位于同一处并(ii )设置为访问企业目录数据库，所述企业目录数据库包括与所述WLAN的授权用户相关的信息；并且其中，所述不在现场的WLAN网络控制器经由安全数据链路与所述至少一个附加服务器计算机通信。
17.根据权利要求16所述的方法，其特征在于，所述不在现场的WLAN网络控制器设置为自动下载配置信息到所述多个访问接入点。
18.根据权利要求16所述的方法，其特征在于，所述不在现场的WLAN网络控制器执行以下附加功能:(I)每用户带宽速率限制，(2)流量优先级；(3)内容过滤，和(4)入侵监测。
19.根据权利要求16所述的方法，其特征在于，所述多个访问接入点的每个经由所述有线传输数据网络自动建立与所述不在现场的WLAN网络控制器的连接。
20.根据权利要求16所述的方法，其特征在于，所述多个访问接入点的每个自主选择通信信道，所述通信信道使每个所述访问接入点与至少一个客户端设备通信，所述自主选择通信信道包括选择具有(i)预定量的自身网络干扰和(ii)预定量的外部网络干扰的信道。
21.根据权利要求16所 述的方法，其特征在于，所述多个访问接入点的每个具有各自的唯一标识，并且其中所述不在现场的WLAN网络控制器利用所述各自的唯一标识来认证对应的访问接入点。
22.根据权利要求21所述的方法，其特征在于，所述各自的唯一标识包括MAC地址与序列号这两者中的至少之一。
23.根据权利要求16所述的方法，其特征在于，所述多个访问接入点的每个从所述不在现场的WLAN网络控制器下载网络参数，其中所下载的网络参数包括至少一个功率电平以及至少一个信标设置。
24.根据权利要求23所述的方法，其特征在于，所下载的网络参数是预先确定的以便能够实现所述WLAN系统的操作。
25.根据权利要求16所述的方法，其特征在于，所述多个访问接入点的每个经由有线连接或无线网状连接这两者中的至少一种与所述传输数据网络通信。
26.根据权利要求16所述的方法，其特征在于，所述多个访问接入点的每个提供对所述WLAN系统的安全私有访问和非安全公共访问。
27.根据权利要求26所述的方法，其特征在于，所述多个访问接入点的每个通过以下方式来提供对所述WLAN系统的非安全公共访问:指示至少一个预先确定的访问接入点传输访问者信标，并利用虚拟局域网和流量隧道这两者中的至少一种将与所传输的所述访问者信标相关联的访问者终端的流量与所述WLAN的其余部分分离。
28.根据权利要求16所述的方法，其特征在于，所述多个访问接入点的每个使现场管理员执行包括至少一种预先确定的每用户管理任务在内的管理门户功能，其中所述至少一种预先确定的每用户管理任务包括以下至少之一:激活新用户、提供游客访问。
29.根据权利要求16所述的方法，其特征在于，所述多个访问接入点的每个执行附加服务器功能中的至少一种。
30.根据权利要求16所述的系统，其特征在于，所述WLAN系统进一步包括本地处理器，并且其中，所述本地处理器与所述多个访问接入点的每个耦合并经由所述传输数据网络与所述不在现场的WLAN网络控制器通信。
【文档编号】H04L29/06GK103929838SQ201410103656
【公开日】2014年7月16日 申请日期:2010年1月18日 优先权日:2009年1月22日
【发明者】伯纳德·赫尔什科维奇, 斯蒂芬·雷蒙特 申请人:贝拉尔网络公司