CN109548177A - 一种大规模WiFi网络管理系统及方法 - Google Patents

Abstract

本申请提供一种大规模WiFi网络管理系统及方法，所述系统包括AP设备、WAG设备以及管理节点设备。其中，管理节点设备分别与AP设备和WAG设备建立网络连接，以形成控制通道，AP设备和WAG设备组成大二层网络结构，以形成数据通道并完成数据平面的业务处理工作。本申请提供的管理系统在保持大二层网络结构的基础上通过增加管理节点设备，使控制平面和数据平面完全分离，保证安全性，避免出现数据风暴。本申请提供的管理系统能够满足运营商级别的大规模WiFi组网需求，解决现有大二层网络下数据风暴和安全性低的问题。

Description

一种大规模WiFi网络管理系统及方法

技术领域

本申请涉及无线网络技术领域，尤其涉及一种大规模WiFi网络管理系统及方法。

背景技术

大规模WiFi网络是区别于家庭无线网络的一种应用于企业或云服务的无线网络系统。通常，大规模WiFi网络采用基于CAPWAP协议的系统架构，无线控制器(AC，accesscontroller)管理的无线接入点(AP，access pointer)的数量大于2000台。例如，运营商无线网络和智慧城市无线网络。在大规模WiFi网络中，需要部署多台AC设备，形成以三层网络设计的WiFi网络系统。在实际应用中，由于AC设备之间经常出现用户漫游情况，因此采用三层网络设计的网络系统设计和维护过程都具有较高的复杂性，不便于大规模WiFi网络的部署和应用。

为了减小网络设计和维护的复杂性，AP通过AC设备的管理数据，会统一汇总到无线汇聚网关(WAG，WiFi Access Gateway)。实际运行中，AP的配置和管理由其上级的AC设备控制完成。传输数据通过隧道的方式中继到WAG网关，使AP上的多个用户流量可以在数据中心统一汇聚，并提供统一认证、统一管理和控制。即WAG网关与用户侧之间建立大二层网络，以方便用户信息管理，和用户漫游控制。

但在实际应用中，由于WAG网关需要统一认证、管理和控制每个AP上的用户，并且控制数据和流量数据需要二层隧道统一发送给WAG网关，使得大二层网络在减小网络设计和维护复杂性的同时，也带来网络广播风暴和安全性的问题，例如：CN201310063805.6公开的广播风暴抑制方法及系统，以及CN201210585977.5公开的一种端到端的无线安全架构系统和方法，分别解决网络广播风暴和安全性的问题。因此，基于大规模WiFi网络的AP-AC-WAG网络结构，如何避免在大二层网络下的数据风暴，以及提高网络安全性成为本领域亟待解决的技术问题。

发明内容

本申请提供了一种大规模WiFi网络管理系统及方法，以解决现有大二层网络下数据风暴和安全性低的问题。

一方面，本申请提供一种大规模WiFi网络管理系统，包括建立大二层网络结构的AP设备、以及WAG设备，还包括与所述AP设备和WAG设备连接的管理节点设备；

所述WAG设备通过与AP设备的大二层网络构建数据通道；所述管理节点设备通过连接AP设备构建分离于所述数据通道的控制通道；

所述管理节点设备内置有模块化的控制平面，所述控制平面基于软件定义网络，用于AP设备上线管理、上线认证、用户管理和地址分配；

所述WAG设备内置有模块化的数据平面，用于在WAG设备和AP设备之间建立大二层数据通道，以统一汇总和转发上网数据报文；

所述管理节点设备被配置为：通过所述控制通道，统一为所述AP设备和所述WAG设备下发控制信息。

可选的，所述控制平面和所述数据平面为基于软件定义网络的组网架构。

可选的，所述控制平面和所述数据平面支持虚拟化网络功能；所述控制平面基于网络虚拟化容器实施控制操作，所述数据平面采用虚拟机或实体机实施数据操作。

可选的，所述管理节点上统一配置有配置接口和网络认证接口；所述配置接口和网络认证接口采用Restful接口方式。

可选的，所述WAG设备包含多个综合业务网关；多个所述综合业务网关中，至少有一个作为主业务网关，所述主业务网关中设有DNAT地址转换模块和负载均衡器。

可选的，多个所述综合业务网关中，还包括多个从业务网关；所述主业务网关上设有对应每个所述从业务网关的配置器；

所述从业务网关中设有DHCP中继服务器；所述主业务网关通过负载均衡器为多个所述从业务网关分配来自AP设备的流量。

可选的，所述从业务网关在初始状态下无状态，并且支持软件定义，以实现综合业务网关的动态扩展。

另一方面，本申请还提供一种大规模WiFi网络管理方法，包括：

AP设备服务范围内的终端设备连接WiFi后，触发所述AP设备通过控制平面建立控制通道；

通过所述控制通道向终端设备传递地址信息和安全认证信息；

在终端设备认证完成后，通过数据平面建立数据通道，传递用户上网数据。

可选的，AP设备服务范围内的终端设备连接WiFi后，触发所述AP设备通过控制平面建立控制通道的步骤包括：

所述终端设备向WAG设备发送上线请求；

所述WAG设备中的DNAT地址转换模块为所述终端设备分配IP地址，以及向管理节点设备发送终端设备的上线请求；

所述管理节点设备根据所述上线请求获取所述终端设备的配置信息；

所述管理节点通过与AP设备之间的网络通道建立控制通道，向AP设备发送所述终端设备的策略信息。

由以上技术方案可知，本申请提供一种大规模WiFi网络管理系统及方法，所述系统包括AP设备、WAG设备以及管理节点设备。其中，管理节点设备分别与AP设备和WAG设备建立网络连接，以形成控制通道，AP设备和WAG设备组成大二层网络结构，以形成数据通道并完成数据平面的业务处理工作。本申请提供的管理系统在原有大二层网络基础上通过增加管理节点设备，使控制平面和数据平面完全分离，在保证安全性的前提下，避免出现数据风暴。本申请提供的管理系统能够满足运营商级别的大规模WiFi组网需求，解决现有大二层网络下数据风暴和安全性低的问题。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请一种大规模WiFi网络管理系统的结构示意图；

图2为本申请网络管理系统的上线控制数据传递示意图；

图3为本申请网络管理系统的配置控制数据传递示意图；

图4为本申请网络管理系统的上网数据传递示意图；

图5为本申请一种大规模WiFi网络管理方法的流程示意图；

图6为本申请终端设备上线到WiFi网络的流程示意图。

具体实施方式

下面将详细地对实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下实施例中描述的实施方式并不代表与本申请相一致的所有实施方式。仅是与权利要求书中所详述的、本申请的一些方面相一致的系统和方法的示例。

在本申请提供的技术方案中，所述AP设备是指，无线接入点设备(AP，accesspointer)，例如无线路由器等；所述AC设备是指，无线控制器设备(AC，accesscontroller)，例如交换机控制器等；WAG设备是指，无线汇聚网关设备(WAG，WiFi AccessGateway)。在实际应用中，AP设备可以受到AC设备控制，并且通过AC设备连接到WAG设备。AP设备分布在应用场景中的不同位置，每个AP设备具有其对应的覆盖范围，可以为进入其覆盖范围内的终端设备，提供无线网络服务。在本申请中所述终端设备是指内置WLAN模块，并且能够通过WLAN方式连接WiFi网络的设备，例如：手机、平板电脑、上网卡等。

本申请所述的大规模WiFi网络主要应用于运营商规模的网络运行环境。对于这种大规模WiFi网络，需要能够集中进行管理，并且在网络系统中，包含有众多的AP设备和AC设备。因此，为了避免AC设备、WAG设备在策略控制上出现混乱的问题，本申请提出一种能够灵活部署，并且支持平滑过渡的系统。

参见图1，为一种大规模WiFi网络管理系统的结构示意图。由图1可知，本申请提供的大规模WiFi网络管理系统，包括建立大二层网络结构的AP设备以及WAG设备，还包括与所述AP设备和WAG设备连接的管理节点设备。

在本申请提供的技术方案中，所述大二层网络结构是相对于传统二层网络和三层网络而言的一种网络结构。在大二层网络中，可以在WAG侧对用户(User)信息进行统一的管理，包括：地址分配、认证、策略控制等。因此，WAG侧与用户侧之间建立的大二层网络可以方便用户信息管理。并且，由于建立大二层网络结构，还可以方便用户实施漫游行为。以保证用户终端在一个AP设备的覆盖范围漫游到另一个AP设备的覆盖范围的过程中，网络连接的数据不会中断。相应地，在本申请中，由于AP设备、AC设备以及WAG设备建立大二层网络，因此在AC设备中负责将AP设备上的网络数据通过隧道的方式中继到WAG设备，避免对终端进行重新配置，以便在用户漫游时，不中断网络数据。

实际应用中，AP设备作为无线网络的接入点，可以在一定范围内提供无线网络覆盖，当用户终端处于覆盖范围内时，可以通过上线到AP设备，连接网络。无线汇聚网关设备(WAG)可以对大二层网络结构中的数据进行汇聚管理，并且通过连接互联网，使AP设备覆盖范围内的终端设备能够连接到互联网。实际应用的互联网可以是移动核心网络、云服务平台网络以及Internet网络等。

本申请提供的技术方案中，所述管理系统还包括管理节点(Management entity)，用于统一对当前系统进行控制层面的操作，如，配置统一下发以及为移动核心网络进行统一的接口认证的对接。管理节点可以通过部署相应的管理设备实现其功能。在整个系统中，管理节点作为节点其可以包含多个管理设备，以实现对应网络位置上的管理功能。管理节点与AP设备层进行连接，从而控制AP层设备的运行。

需要说明的是，在本申请中，所述连接仅仅是指相应的层级之间能够进行数据传递和信息收发，并不对实体设备上的连接进行限定。实际应用中，可以在AP层与管理节点之间另外设立一个数据传输的通道，也可以通过现有的连接关系，但设置一个专门用于在AP层与管理节点之间的数据传输路径，以实现AP层与管理节点的连接。

进一步地，所述管理节点上统一配置有配置接口和网络认证接口；其中，所述配置接口和所述网络认证接口采用Restful接口方式。实际应用中，AP设备的初始配置来自于集中的服务器，然后AP设备统一通过CAPWAP的控制通道或者其他的协议进行上线。管理节点可以给管理员提供统一的Portal接口，从而接入管理平台或形成管理平面，以便对WiFi网络中的设备进行配置、调控。管理节点同时也可以为移动核心网络认证对接的统一接口，为了便于对接，网络认证接口采用Restful的接口方式。

所述WAG设备通过与AC设备、AP设备的大二层网络通道构建所述管理系统的数据通道；所述管理节点设备通过连接AP设备构建分离于所述数据通道的控制通道。实际运行中，AP设备负责为覆盖范围内的终端设备提供无线网络信号，用户的终端设备通过AP设备上线到WiFi网络环境中，为了实现数据的传输和管理，AP设备可通过CAPWAP协议的控制通道或者其他的协议进行上线。

进一步地，在所述管理系统中，所述数据通道和控制通道均为基于CAPWAP协议建立的通道。CAPWAP协议(Control And Provi sioning of Wireless Access PointsProtocol Specification)是一种无线接入点的控制和配置协议，通过CAPWAP协议，可以使AP设备和AC设备之间直接进行数据传递，完成数据报文发送和转发，以及上网数据的传递。通过CAPWAP协议还可以使AP设备直接将控制指令或传输数据经过AC设备发送给WAG设备，无需进行额外的协议转换。

本申请提供的技术方案中，数据通道用于传递数据报文，因此，所述WAG设备通过和AP设备之间建立大二层数据通道，完成终端设备在上网过程中的数据报文的统一汇总和转发功能。另外，WAG设备通过连接管理节点设备，可以实现集中的数据上报和业务控制策略实施。以使控制通道能够在实际应用中，传递控制数据，如与上线管理、认证功能、用户管理和地址分配相关的控制数据。

由于在实际应用中，数据报文通过WAG设备、AC设备以及AP设备的大二层网络，即数据通道进行传输，而控制数据通过管理节点设备与AP设备之间建立的控制通道进行传输，因此，在本申请提供的技术方案中，数据通道和控制通道是相互分离的，进而可以减轻大二层网络中广播风暴的问题。

为了进行相应的网络控制和管理，在所述管理节点设备内置有模块化的控制平面，所述控制平面基于软件定义网络，用于AP设备上线管理、上线认证以及用户管理和地址分配；以及，在所述WAG设备内置有模块化的数据平面，用于在WAG设备和AP设备之间建立二层数据通道，以统一汇总和转发数据报文。因此，所述管理节点设备可以被配置为：通过所述控制通道，统一为所述AP设备和所述WAG设备下发控制信息。进一步地，所述控制平面和所述数据平面都是基于软件定义网络的组网架构。

在本申请提供的技术方案中，传输信令信息的叫做控制平面(Control plane)，控制平面上承载的是用户和网络的交互指令和控制策略。WiFi网络中各不同端口上各种类型的数据处理，以及各种具体的数据处理转发过程，属于数据平面(Data plane)的任务范畴。本申请中所述管理节点设备内置有控制平面是指，控制平面的主控制平台设置在管理节点中。同样，在所述WAG设备内置有模块化的数据平面也是指，数据平面的主控制平台设置在WAG设备中。

本实施例中所述软件定义网络(Software Defined Network，SDN)是网络虚拟化的一种实现方式，其核心是通过将网络设备的控制平面与数据平面分离开来，从而实现了网络流量的灵活控制，使网络更加智能，具体表现为，在网络设备进行SDN改造后，无需对网络中每个节点的路由器反复进行配置，网络中的设备本身就是自动化连通的。

本实施例在所述管理节点设备内置模块化的控制平面，以及在WAG设备内置有模块化的数据平面。其中，所述模块化的控制平面和数据平面是指，在控制平面中的数据操作完全独立于数据平面，不会受到数据平面影响。同样，在数据平面中实施的数据传递操作，完全独立于控制平面，不会受到控制平面中的操作影响。

实际应用中，控制平面更适合使用虚拟化技术，尤其是容器技术。而数据平面的实施可以使用虚拟机或实体机的方式，以方便对WiFi网络进行灵活配置。即在本申请的部分实施例中，所述控制平面和所述数据平面支持虚拟化网络功能(NFV，Network FunctionVirtual izat ion)；所述控制平面基于网络虚拟化容器实施控制操作，所述数据平面采用虚拟机或实体机实施数据操作。通过虚拟化网络功能，可以通过基于行业标准的x86服务器、存储和交换设备，来取代通信网的那些私有专用的网元设备，降低网络设备的搭建、运维成本，并提高WiFi网络的灵活性。但在网络节点的理论架构上，使用虚拟化技术、实体机技术或者两者的组合都是可以实现的。

进一步地，在WAG设备中包含多个综合业务网关；多个所述综合业务网关中，至少有一个作为主业务网关(MSG)，并且在所述主业务网关中设有DNAT地址转换模块和负载均衡器。而多个所述综合业务网关中，还包括多个从业务网关(vMSG)；所述主业务网关上设有对应每个所述从业务网关的配置器；所述从业务网关中设有DHCP中继服务器；所述主业务网关通过负载均衡器为多个所述从业务网关分配来自AP设备的流量。实际应用中，所述无线汇聚网关在实现中称之为综合业务网关，即与AP层之间建立大二层网络通路，完成数据报文的统一汇总和转发功能。

本申请提供的所述管理系统在实际应用中，AP覆盖范围内的用户终端上线到WiFi网络包含以下三种业务流。

其一为网络管理系统的上线控制数据传递，如图2所示，AP设备先通过CAPWAP协议连接到主业务网关，主业务网关通过调用DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)服务器，触发控制平面中的CAPWAP协议模块，从而使AP与控制平面之间建立一个控制通道。

其二为网络管理系统的配置控制数据传递，如图3所示，在控制通道建立后，用户终端通过连接WiFi网络，进行相应的地址获取和安全认证。具体表现为，用户终端连接AP设备，AP设备通过CAPWAP协议将连接操作的对应数据报文发送给主业务网关，主业务网关通过调用DHCP服务器，触发控制平面中的Hostapd进程，以实现对上线终端进行安全认证，并且在安全认证通过后为上线终端分配对应的地址信息。

在进行地址获取和安全认证的过程中，还可以通过主业务网关调用负载均衡器(load balance，LB)，来动态分配来自AP的流量。具体表现为，如果通过DHCP服务器确定当前主业务网关的流量过多，可以通过在主业务网关中的负载均衡器，将部分上线终端是数据转移到从业务网关(vMSG)中转发处理。

相应的在从业务网关中，设置有DHCP中继服务器(DHCP relay)和DP Forward模块，以便配合主业务网关完成终端的上线操作。为了实现从业务网关在应用时，保证业务的灵活扩展，所述从业务网关在初始状态下无状态，并且支持软件定义，即也是基于SDN的概念，以实现综合业务网关的灵活加载和动态扩展。显然，在逻辑层面，所述负载均衡器部署在从业务网关之前，而动态分配来自AP的流量的分配方式可以基于流的方式，或者基于轮询的方式，具体实施的分配方式需要根据业务需求进行选择。

其三为网络管理系统的上网数据传递，如图4所示，上线终端在认证完成后，正常的上网流量可以通过连接的AP设备以CAPWAP协议连接到主业务网关，使主业务网关通过DHCP服务器连接到网络中，例如通过主业务网关连接到Internet网路。同样可以通过负载均衡器启用综合业务网关中符合要求的从业务网关设备，再连接到对应的网路中，实现上网数据的正常传递。

由以上技术方案可知，本申请提供的技术方案中，所述管理系统可以通过控制平面和控制通道对上线终端进行控制，实现集中化统一控制，方便AP设备的部署、升级和维护，即达到集中管控的效果。并且通过数据平面和数据通道传递相应的上网数据，通过相互分离的数据平面和控制平面，避免广播风暴问题，从而摆脱无线网络的规模限制，适应大规模WiFi网络。另外，本申请提供的管理系统通过将控制平面和数据平面完全分离的方式，结合虚拟化技术，可以有效解决SDN在大规模网络中的应用问题，同时也解决网络先前兼容性的问题。

需要说明是，在大规模WiFi网络的实际运行过程中，由于在应用场景的多个区域中都需要部署AP设备，并且在实际运行中也不断有AP设备接入或离开当前WiFi网络环境。因此，在每一次AP设备上线或下线当前WiFi网络时，可以通过对应位置上的AC设备进行对应上线和下线操作，并将相应的上线和下线消息统一汇总到WAG设备中。例如，对于新的AP设备上线到当前WiFi网络，AP设备接入对应的AC设备以后，AC设备同样通过CAPWAP协议对AP设备进行配置和地址分配，以完成AP设备的上线控制。

但在AP设备上线完成后，AP设备覆盖范围内的终端设备，若想上线到WiFi网络则需要通过管理节点设备中的控制平面进行控制，AC设备仅仅起到终端设备上网过程中的数据传输的中继作用，不会再对AP设备覆盖范围内的终端设备进行控制，从而避免终端设备控制混乱。

基于上述网络管理系统，本申请还提供一种大规模WiFi网络管理方法，如图5所示，所述管理方法包括以下步骤：

S1：AP设备服务范围内的终端设备连接WiFi后，触发所述AP设备通过控制平面建立控制通道；

S2：通过所述控制通道向终端设备传递地址信息和安全认证信息；

S3：在终端设备认证完成后，通过数据平面建立数据通道，传递上网数据。

由以上步骤可知，本申请在实际应用中，AP设备被布置在大规模WiFi网络所应用场景内的多个位置上，以形成相应的覆盖多个服务范围。用户的终端设备在进入一个AP设备的服务范围以后，会通过终端设备中的WLAN连接方式连接到所述AP设备，并且触发所述AP设备通过控制平面建立相对应的控制通道。

实际应用中，控制通道用户传递控制数据，因此控制通道可以在所述WiFi网络构建完成后，专门创建一个从WAG到AP设备层的传输通道，作为控制通道，以保证控制通道的稳定性，减少每次终端设备上线到WiFi网络所消耗的时间。也可以在每次AP设备中有终端上线到WiFi网络时再进行创建，从而节省相应的网络资源，以实现有更多的网络容量被应用在上网流量数据的传递中。

在建立了控制通道后，控制平面可以对接入的终端设备进行上线控制和安全认证。即管理节点通过控制通道向终端设备传递地址信息和安全认证信息。其中，安全认证信息需要验证上线设备登陆的合法性，如验证终端设备的SSID等。并且在终端设备的验证通过后，控制平面为其配置相应的地址信息，使终端设备能够正常上网。在终端设备认证完成后，数据平面可以获取分配的地址信息，并且数据平面根据地址信息建立针对终端设备的数据通道，以传递终端设备的上网数据。

由以上WiFi网络的管理方法可知，本申请中，在每一次终端设备上线到WiFi网络以后，关于终端设备的上线控制，可以通过控制平面利用控制通道完成；而对于上网数据可以通过数据模块利用数据通道完成传递。因此，在本申请提供的技术方案中，控制和数据相互分离，从而能够满足运营商级别大规模的无线组网需求，但在对外表现上，可以给用户提供统一的管理入口。

进一步地，如图6所示，AP设备服务范围内的终端设备连接WiFi后，触发所述AP设备通过控制平面建立控制通道的步骤包括以下步骤：

S101：所述终端设备按照CAPWAP协议向WAG设备发送上线请求；

S102：所述WAG设备中的DNAT地址转换模块为所述终端设备分配IP地址，以及向管理节点设备发送终端设备的上线请求；

S103：所述管理节点设备根据所述上线请求获取所述终端设备的配置信息；

S104：所述管理节点通过与AP设备之间的网络通道建立控制通道，向所述终端设备发送配置信息。

由以上步骤可知，本申请提供的技术方案中，对于终端设备上线到AP设备的操作中。可先由终端设备根据CAPWAP协议的传输方式向AP设备发送上线请求，AP设备可以直接通过CAPWAP协议将上线请求发送给WAG设备。WAG设备通过调用内置的DNAT地址转换模块为终端设备分配相应的IP地址。同时还将上线请求传递到管理节点设备中，以使控制平面获得上线请求。管理节点设备在接收到上线请求以后，可以根据上线请求获取适用于所述终端设备的配置信息。所述配置信息的获取来源，可以是控制平面根据上线请求中与终端设备有关的信息，实时制定配置策略，并生成相应的配置信息。也可以是来源于集中的服务器。

在获取配置信息后，管理节点设备可以通过与AP设备之间建立的控制通道，向AP设备发送对应的配置信息和IP地址。AP设备再将相应的IP地址信息和配置信息发送给对应的终端设备，以完成终端设备上线。

由以上技术方案可知，本申请提供一种大规模WiFi网络管理系统及方法，所述系统包括AP设备、WAG设备以及管理节点设备。其中，管理节点设备分别与AP设备和WAG设备建立网络连接，以形成控制通道，AP设备和WAG设备组成大二层网络结构，以形成数据通道并完成数据平面的业务处理工作。本申请提供的管理系统在原有大二层网络基础上通过增加管理节点设备，使控制平面和数据平面完全分离，在保证安全性的前提下，避免出现数据风暴。

本申请提供的技术方案，有效划分了WLAN的控制和数据平面的业务，并把控制节点功能进行整合，更适合运营商级的WLAN网络组网需求。数据平面采用虚拟大二层网络的形式，区别于传统WLAN的三层网络多VLAN的方式，更适合网络维护和运营。并且采用数据平面无状态设计思路，结合负载均衡器技术，可以完成数据平面的灵活扩容。本申请还通过开源容器或者虚拟机进行多实例化部署应用容器引擎，让开发者可以打包他们的应用及依赖包到一个可移植的容器中，方便云端部署和实施。

本申请提供的实施例之间的相似部分相互参见即可，以上提供的具体实施方式只是本申请总的构思下的几个示例，并不构成本申请保护范围的限定。对于本领域的技术人员而言，在不付出创造性劳动的前提下依据本申请方案所扩展出的任何其他实施方式都属于本申请的保护范围。

Claims (9)

1.一种大规模WiFi网络管理系统，包括建立大二层网络结构的AP设备、以及WAG设备，其特征在于，还包括与所述AP设备和WAG设备连接的管理节点设备；

所述WAG设备通过与AP设备的大二层网络构建数据通道；所述管理节点设备通过连接AP设备构建分离于所述数据通道的控制通道；

所述管理节点设备内置有模块化的控制平面，所述控制平面基于软件定义网络，用于AP设备上线管理、上线认证、用户管理和地址分配；

所述WAG设备内置有模块化的数据平面，用于在WAG设备和AP设备之间建立大二层数据通道，以统一汇总和转发上网数据报文；

所述管理节点设备被配置为：通过所述控制通道，统一为所述AP设备和所述WAG设备下发控制信息。

2.根据权利要求1所述的管理系统，其特征在于，所述控制平面和所述数据平面为基于软件定义网络的组网架构。

3.根据权利要求2所述的管理系统，其特征在于，所述控制平面和所述数据平面支持虚拟化网络功能；所述控制平面基于网络虚拟化容器实施控制操作，所述数据平面采用虚拟机或实体机实施数据操作。

4.根据权利要求1所述的管理系统，其特征在于，所述管理节点上统一配置有配置接口和网络认证接口；所述配置接口和网络认证接口采用Restful接口方式。

5.根据权利要求1所述的管理系统，其特征在于，所述WAG设备包含多个综合业务网关；多个所述综合业务网关中，至少有一个作为主业务网关，所述主业务网关中设有DNAT地址转换模块和负载均衡器。

6.根据权利要求5所述的管理系统，其特征在于，多个所述综合业务网关中，还包括多个从业务网关；所述主业务网关上设有对应每个所述从业务网关的配置器；

所述从业务网关中设有DHCP中继服务器；所述主业务网关通过负载均衡器为多个所述从业务网关分配来自AP设备的流量。

7.根据权利要求6所述的管理系统，其特征在于，所述从业务网关在初始状态下无状态，并且支持软件定义，以实现综合业务网关的动态扩展。

8.一种大规模WiFi网络管理方法，其特征在于，包括：

AP设备服务范围内的终端设备连接WiFi后，触发所述AP设备通过控制平面建立控制通道；

通过所述控制通道向终端设备传递地址信息和安全认证信息；

在终端设备认证完成后，通过数据平面建立数据通道，传递用户上网数据。

9.根据权利要求8所述的管理方法，其特征在于，AP设备服务范围内的终端设备连接WiFi后，触发所述AP设备通过控制平面建立控制通道的步骤包括：

所述终端设备向WAG设备发送上线请求；

所述WAG设备中的DNAT地址转换模块为所述终端设备分配IP地址，以及向管理节点设备发送终端设备的上线请求；

所述管理节点设备根据所述上线请求获取所述终端设备的配置信息；

所述管理节点通过与AP设备之间的网络通道建立控制通道，向AP设备发送所述终端设备的策略信息。