專利名稱:一種無線網(wǎng)絡(luò)交換機的控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)控制方法,尤其是涉及一種無線網(wǎng)絡(luò)交換機的控制方法。
背景技術(shù):
傳統(tǒng)的無線網(wǎng)絡(luò)構(gòu)架,是由網(wǎng)絡(luò)訪問接點Access Point (簡稱AP)來實現(xiàn)的。AP 是個單點設(shè)備,也就是說,每個AP有自己獨立的運算單元CPU、存儲內(nèi)存和管理軟件,當(dāng)我 們構(gòu)成一個大中型的網(wǎng)絡(luò)時,這些單點之間并沒有太多的相關(guān)性。正是由于這個特點,使得 傳統(tǒng)的無線網(wǎng)絡(luò)在熱點區(qū)、家庭等應(yīng)用場景中體現(xiàn)出非常方便的特性,因為這些場景中,不 需要太多的管理,維護和安全方面的考慮。但是,在企業(yè)級應(yīng)用中,這種傳統(tǒng)概念的無線網(wǎng)絡(luò)卻遇到了極大的挑戰(zhàn)。這集中表 現(xiàn)在(1)系統(tǒng)缺乏整合性與企業(yè)有線網(wǎng)絡(luò)的集成單點設(shè)備由于缺少系統(tǒng)的整合特 性,因此在實施網(wǎng)絡(luò)構(gòu)架時,很難做到與企業(yè)的有線網(wǎng)絡(luò)一個無縫的集成;(2)系統(tǒng)缺乏安全性目前的無線網(wǎng)絡(luò)集成中,最常見的安全策略是使用前端數(shù) 據(jù)加密和后端身份驗證雙重方式。然而,這些安全措施只能從使用者的角度來保護網(wǎng)絡(luò)的 安全,卻不能防止無線黑客的入侵,網(wǎng)絡(luò)的安全隱患很大;(3)系統(tǒng)缺乏可管理性和可維護性單點設(shè)備需要企業(yè)的網(wǎng)絡(luò)管理人員進行逐個 的設(shè)置,管理和維護,當(dāng)企業(yè)網(wǎng)絡(luò)規(guī)模趨于大型化時,原本可以為企業(yè)員工帶來方便的無線 網(wǎng)絡(luò)卻給IT人員帶來了莫大的麻煩。管理和維護一個多接點的無線網(wǎng)絡(luò)需要大量的人力 投入;(4)系統(tǒng)缺乏可擴展性無線網(wǎng)絡(luò)標準的發(fā)展迅猛,自IEEE802. 11標準誕生以來, 幾乎每年都有2-3種新的無線標準出臺。因此,對產(chǎn)品的可持續(xù)升級要求也是企業(yè)應(yīng)用中 的一個特點。傳統(tǒng)無線網(wǎng)絡(luò)產(chǎn)品的升級是難以實現(xiàn)的,不僅因為不同的無線網(wǎng)絡(luò)標準使用 的無線頻率發(fā)生裝置不同,還在于,Access Point在運算性能和效率上根本無法滿足日益 增長的網(wǎng)絡(luò)通訊數(shù)據(jù)率的需求。
發(fā)明內(nèi)容
本發(fā)明的目的就是為了克服上述現(xiàn)有技術(shù)存在的缺陷而提供一種具有集中管理 的特性、集成的安全特性、可持續(xù)發(fā)展的特點、適合企業(yè)移動應(yīng)用的無線網(wǎng)絡(luò)交換機的控制 方法。本發(fā)明的目的可以通過以下技術(shù)方案來實現(xiàn)一種無線網(wǎng)絡(luò)交換機的控制方法,其特征在于,該方法包括以下步驟(1)基于策略組的集中配置控制,所述的基于策略組的集中配置控制是以無線網(wǎng) 絡(luò)交換機為核心,以太網(wǎng)絡(luò)線為連接,無線接入點為擴展的構(gòu)架;(2)對子網(wǎng)們基于策略組的集中安全控制,所述的對子網(wǎng)基于策略組的集中安全 控制的安全策略都是基于組之上,子網(wǎng)們都可以有自己的安全機制;
(3)對接入端的智能控制和增強控制,所述的對接入端的智能和增強控制是以具 有智能數(shù)據(jù)包處理能力的無線網(wǎng)絡(luò)交換機為核心,采用了虛擬AP和無線接入點。所述的步驟(1)中基于策略組的集中配置控制將無線網(wǎng)絡(luò)交換機部署在核心層 或根分布層,通過以太網(wǎng)絡(luò)線接入上層工作組交換機和以太網(wǎng)交換機,以太網(wǎng)交換機放置 在接入層,無線接入點通過以太網(wǎng)絡(luò)線連接到以太網(wǎng)交換機上。所述的步驟(2)中對子網(wǎng)基于策略組的集中安全控制包括存取控制列表、身份驗 證ACL、預(yù)分配密鑰、802. Ix/擴展身份驗證協(xié)議、基于公共密鑰基礎(chǔ)PKI的證書、數(shù)據(jù)加密、 WEP加密傳輸、WPA時效密鑰完整性協(xié)議、KeyGuard-MCM或WTLS高級加密標準AES的虛擬 專網(wǎng)VPN。所述的步驟(3)中對接入端的智能控制是通過QoS實現(xiàn)服務(wù)質(zhì)量的控制、自動選 擇通訊通道、傳輸能量控制來實現(xiàn)。與現(xiàn)有技術(shù)相比,本發(fā)明建立了以無線網(wǎng)絡(luò)交換機為核心,獨立于接入端物理層 特性的交換系統(tǒng)。這種接入點擴展構(gòu)架可以向前、向后兼容各種不同標準的IEEE802. 11物 理層,使由單點接入到集中式管理的演變過程具有了進化論般完美的體現(xiàn)。系統(tǒng)構(gòu)架中的 各個單元各司其職,卻又高度地集成,接入端真正實現(xiàn)了“零配置”管理。同傳統(tǒng)的無線網(wǎng) 絡(luò)比較,第三代無線網(wǎng)絡(luò)交換機實現(xiàn)了在各個缺陷點上的突破(1)系統(tǒng)具有和有線網(wǎng)絡(luò)構(gòu)架的無縫整合性;(2)系統(tǒng)具有多重安全性;(3)系統(tǒng)具有高度的可管理性和可維護性;(4)系統(tǒng)具有高度可擴展性。
圖1為本發(fā)明中基于策略組的集中配置控制結(jié)構(gòu)示意圖。圖中1為廣域網(wǎng)、2為工作組交換機、3為無線交換機、4為以太網(wǎng)交換機、5為以太 網(wǎng)絡(luò)線、6為無線接入點。
具體實施例方式下面結(jié)合附圖和具體實施例對本發(fā)明進行詳細說明。實施例為了解決系統(tǒng)缺乏整合性的問題,本發(fā)明提出了基于策略組的集中配置控制,以 無線交換機為核心并對其采用中心管理模式,重新定義了對無線網(wǎng)絡(luò)的構(gòu)架,使之和有線 網(wǎng)絡(luò)一樣具有接入層和交換層。這種結(jié)構(gòu)讓IT管理更易于理解和掌握。通過虛擬子網(wǎng)的 構(gòu)架將無線系統(tǒng)有機地結(jié)合到整個企業(yè)網(wǎng)絡(luò)中,網(wǎng)絡(luò)的規(guī)劃不是獨立,而是與企業(yè)的有線 網(wǎng)絡(luò)結(jié)合在一起。本發(fā)明針對系統(tǒng)缺乏安全性,提出了基于策略組的集中安全控制,無線交換機固 有的安全機制由訪問控制、身份驗證和數(shù)據(jù)加密等一整套完整的體系組成,可以在企業(yè)網(wǎng) 絡(luò)的不同層次上進行部署,從而形成分層式的安全模式,提供非常強健的端到端安全性,同 時也提供基于物理層(無線電波)的安全防護WIPS系統(tǒng),一套可選的安全防護系統(tǒng)將徹底 屏蔽無線網(wǎng)絡(luò)黑客的侵襲,對于安全性要求機高的金融機構(gòu),這是一個非常完美的解決方案。為了保證系統(tǒng)具有高度的可管理性和可維護性,本發(fā)明提出了對接入端的智能控 制,無線交換機體系對于硬件、軟件配置和網(wǎng)絡(luò)策略進行統(tǒng)一管理,向所有接入點自動部署 配置,通過QoS實現(xiàn)服務(wù)質(zhì)量的控制、自動選擇通訊通道、傳輸能量控制來實現(xiàn)智能管理。 這樣大大降低了初始化工作量。同時,系統(tǒng)的維護非常方便,無需專業(yè)管理人員,接入端可 以作到即插即用,節(jié)省了日常維護成本。針對系統(tǒng)缺乏可擴展性問題,本發(fā)明提出了增強的無線接入端控制,使用虛擬AP, 可以將無線局域網(wǎng)劃分成真正的多個廣播域,提供多個ESSID映射到多個BSSID的功能。分 劃的廣播域可以有效地減少無線網(wǎng)絡(luò)子網(wǎng)上的數(shù)據(jù)通訊流量,并提高子網(wǎng)間的安全和機密 性。接入點AP是個即插即用的設(shè)備,并且具有非常強大的無線接入性能,提供802. lla/b/ g的無線網(wǎng)絡(luò)接入標準。下面結(jié)合附圖進行描述如圖1所示,一種無線網(wǎng)絡(luò)交換機技術(shù),其中整個無線交 換機系統(tǒng)通過以太網(wǎng)絡(luò)線與廣域網(wǎng)1連接,無線網(wǎng)絡(luò)交換機3可部署在核心層,或根據(jù)需 要部署在分布層,通過以太網(wǎng)絡(luò)線5接入上層工作組交換機2 ;以太網(wǎng)交換機4放置在接入 層,無線接入點6通過以太網(wǎng)絡(luò)線5連接到以太網(wǎng)交換機4上。由于無線接入點6是不需 要IP地址的設(shè)備,因此,整個無線網(wǎng)絡(luò)系統(tǒng)只需要在無線網(wǎng)絡(luò)交換機3端出現(xiàn)一個管理用 IP地址,通過這個地址,我們就可以對整個無線網(wǎng)絡(luò)進行基于策略組的集中配置和管理。
權(quán)利要求
一種無線網(wǎng)絡(luò)交換機的控制方法,其特征在于,該方法包括以下步驟(1)基于策略組的集中配置控制,所述的基于策略組的集中配置控制是以無線網(wǎng)絡(luò)交換機為核心,以太網(wǎng)絡(luò)線為連接,無線接入點為擴展的構(gòu)架;(2)對子網(wǎng)們基于策略組的集中安全控制,所述的對子網(wǎng)基于策略組的集中安全控制的安全策略都是基于組之上,子網(wǎng)們都可以有自己的安全機制;(3)對接入端的智能控制和增強控制,所述的對接入端的智能和增強控制是以具有智能數(shù)據(jù)包處理能力的無線網(wǎng)絡(luò)交換機為核心,采用了虛擬AP和無線接入點。
2.根據(jù)權(quán)利要求1所述的一種無線網(wǎng)絡(luò)交換機的控制方法,其特征在于,所述的步驟(1)中基于策略組的集中配置控制將無線網(wǎng)絡(luò)交換機部署在核心層或根分布層,通過以太 網(wǎng)絡(luò)線接入上層工作組交換機和以太網(wǎng)交換機,以太網(wǎng)交換機放置在接入層,無線接入點 通過以太網(wǎng)絡(luò)線連接到以太網(wǎng)交換機上。
3.根據(jù)權(quán)利要求1所述的一種無線網(wǎng)絡(luò)交換機的控制方法,其特征在于,所述的步驟(2)中對子網(wǎng)基于策略組的集中安全控制包括存取控制列表、身份驗證ACL、預(yù)分配密鑰、 802. Ix/擴展身份驗證協(xié)議、基于公共密鑰基礎(chǔ)PKI的證書、數(shù)據(jù)加密、WEP加密傳輸、WPA 時效密鑰完整性協(xié)議、KeyGuard-MCM或WTLS高級加密標準AES的虛擬專網(wǎng)VPN。
4.根據(jù)權(quán)利要求1所述的一種無線網(wǎng)絡(luò)交換機的控制方法,其特征在于,所述的步驟(3)中對接入端的智能控制是通過QoS實現(xiàn)服務(wù)質(zhì)量的控制、自動選擇通訊通道、傳輸能量 控制來實現(xiàn)。
全文摘要
本發(fā)明涉及一種無線網(wǎng)絡(luò)交換機的控制方法,該方法包括(1)基于策略組的集中配置控制,所述的基于策略組的集中配置控制是以無線網(wǎng)絡(luò)交換機為核心,以太網(wǎng)絡(luò)線為連接,無線接入點為擴展的構(gòu)架;(2)對子網(wǎng)們基于策略組的集中安全控制,所述的對子網(wǎng)的基于策略組的集中安全控制的安全策略都是基于組之上,子網(wǎng)們都可以有自己的安全機制;(3)對接入端的智能控制和增強控制,所述的對接入端的智能和增強控制是以具有智能數(shù)據(jù)包處理能力的無線網(wǎng)絡(luò)交換機為核心,采用了虛擬AP和無線接入點。與現(xiàn)有技術(shù)相比,本發(fā)明具有無縫整合性、多重安全性、高度的可管理性、可維護性和高度可擴展性等優(yōu)點。
文檔編號H04W28/24GK101909291SQ20091005252
公開日2010年12月8日 申請日期2009年6月4日 優(yōu)先權(quán)日2009年6月4日
發(fā)明者周才池 申請人:上海共聯(lián)通信信息發(fā)展有限公司