CN112333711B - 无线网络提供方法、装置及存储介质 - Google Patents
无线网络提供方法、装置及存储介质 Download PDFInfo
- Publication number
- CN112333711B CN112333711B CN202011196671.1A CN202011196671A CN112333711B CN 112333711 B CN112333711 B CN 112333711B CN 202011196671 A CN202011196671 A CN 202011196671A CN 112333711 B CN112333711 B CN 112333711B
- Authority
- CN
- China
- Prior art keywords
- campus
- information
- park
- wireless user
- wireless
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提供一种无线网络提供方法、装置及存储介质,用于解决单AC多园区相同SSID无线网络用户的网络接入问题。本公开SDN控制器收集转发设备信息及网络拓扑信息,并通过AP基本信息关联转发设备信息和网络拓扑信息从而获得AP与AP所接入园区的对应关系;认证服务器从认证报文中获取AP基本信息,并查询AP所在园区,为无线用户分配所接入AP所在园区的安全组对应的业务VLAN,从而使得认证服务器可以区分每个无线用户所接入的园区,根据园区分配业务VLAN。本公开实现了单AC多园区相同SSID无线网络中,无线用户无感知的园区无线网络的切换,从而提升用户体验。
Description
技术领域
本公开涉及通信技术领域,尤其涉及一种无线网络提供方法、装置及存储介质。
背景技术
传统园区”人适应网”的架构已经跟不上智能化的浪潮,新一代智能园区网络通过可扩展虚拟局域网(Virtual eXtensible LAN,VXLAN)及软件定义网络(Software DefinedNetwork,SDN)的技术,实现网络设备零配置自动化上线、有线无线一体化、多园区网络随行等一系列强大功能。
随着大量企业和学校在不同地区和不同城市设立分园区,多园区网络支持有线无线网络随行业务的需求逐渐增多。当前,多园区的虚拟局域网(Virtual Local AreaNetwork,VLAN)和VXLAN域各自规划,无线用户通过授权的VLAN映射到VXLAN域进行业务流量的转发,所以针对无线用户跨园区迁移,需要授权不同的VLAN进入对应园区的VXLAN域,才能正常访问业务。当前,园区网已经实现多园区有线无线网络随行,但是针对多园区共用一个无线接入控制器(Access Controller,AC),多园区接入点(Access Point,AP)使用同一个服务集标识(Service Set Identifier,SSID)的场景,无线用户只能在无线AC所在园区正常访问业务,用户迁移到其他园区无法正常上线访问业务。
发明内容
有鉴于此,本公开提供一种无线网络提供方法、装置及存储介质,用于解决单AC多园区相同SSID无线网络用户的网络接入问题。
基于本公开一实施例,本公开提供了一种无线网络提供方法,所述无线网络包括多个园区,多个园区共用一个接入控制器AC,多个园区通过大二层互连技术互连,所述多个园区中的AP绑定相同的服务集标识SSID,该方法应用于认证服务器,该方法包括:
认证服务器接收到无线用户的认证报文时,从认证报文中获取AP基本信息;
认证服务器根据AP基本信息获取AP所在的园区;AP与AP所在园区的对应关系由软件定义网络SDN控制器同步获得;
根据AP所在的园区的预设接入策略为无线用户进行接入认证,所述预设接入策略内容包括:根据无线用户所接入的AP所在园区为该无线用户分配对应安全组的业务虚拟局域网络VLAN。
进一步地,所述方法还包括:
对由SDN控制器同步获得的AP与AP所在园区的对应关系进行分组,将同一园区内的AP分配到同一园区分组中;
所述根据AP所在的园区的接入策略为无线用户进行接入认证具体为:
所述预设接入策略具体为针对园区分组的接入策略,所述接入策略内容包括:根据无线用户所接入的AP所在园区对应的园区分组,为该无线用户分配该园区分组对应安全组的业务VLAN。
进一步地,所述的大二层互连技术为可扩展虚拟局域网VXLAN;所述AP基本信息为AP的MAC地址。
根据本公开一方面,还提供一种无线网络提供方法,所述无线网络包括多个园区,多个园区共用一个接入控制器AC,多个园区通过大二层互连技术互连,所述多个园区中的AP绑定相同的服务集标识SSID,该方法应用于软件定义网络SDN控制器,该方法包括:
所述SDN控制器获取所管理的各园区内的转发设备的设备信息及网络拓扑信息,维护设备信息表和拓扑信息表;其中,设备信息表中维护有各转发设备的基本信息及转发设备所在园区的园区信息,拓扑信息表维护有各园区内设备之间的网络拓扑关系;
所述SDN控制器根据接入点AP的基本信息通过拓扑信息表获取AP所接入的转发设备的设备基本信息,并根据所接入的转发设备的设备基本信息从设备信息表中获取转发设备所在的园区信息,得到每个AP所在园区;
SDN控制器将AP及AP所在园区的信息同步给认证服务器,以使认证服务器根据预设接入策略为无线用户进行接入认证;所述预设接入策略内容包括:根据无线用户所接入的AP所在园区为该无线用户分配对应安全组的业务虚拟局域网络VLAN。
进一步地,所述方法还包括:所述SDN控制器配置有与园区对应的安全组,且授权不同园区的安全组分别使用不同的业务VLAN。
进一步地,所述的大二层互连技术为可扩展虚拟局域网VXLAN;所述AP的基本信息包括AP名称和/或AP的MAC地址。
基于本公开一方面,还一种无线网络提供装置,该装置应用于认证服务器,所述认证服务器位于包括多个园区的无线网络中,所述多个园区通过大二层互连技术互连且共用一个接入控制器AC,所述多个园区中的AP绑定相同的服务集标识SSID,该装置包括:
接收模块,用于接收到无线用户的认证报文时,从认证报文中获取AP基本信息;
园区获取模块,用于根据AP基本信息获取AP所在的园区;AP与AP所在园区的对应关系由软件定义网络SDN控制器同步获得;
认证模块,用于根据AP所在的园区的预设接入策略为无线用户进行接入认证,所述预设接入策略内容包括:根据无线用户所接入的AP所在园区为该无线用户分配对应安全组的业务虚拟局域网络VLAN。
进一步地,所述装置还包括:
园区分组模块,用于对由SDN控制器同步获得的AP与AP所在园区的对应关系进行分组,将同一园区内的AP分配到同一园区分组中;
所述认证模块根据无线用户所接入的AP所在园区对应的园区分组,为该无线用户分配该园区分组对应安全组的业务VLAN。
基于本公开一方面,还提供一种无线网络提供装置,该装置应用于SDN控制器,所述SDN控制器用于管理由多个园区组成的无线网络,所述多个园区通过大二层互连技术互连,共用一个接入控制器AC,所述多个园区中的AP绑定相同的服务集标识SSID,该装置包括:
信息获取模块,用于获取所管理的各园区内的转发设备的设备信息及网络拓扑信息,维护设备信息表和拓扑信息表;其中,设备信息表中维护有各转发设备的基本信息及转发设备所在园区的园区信息,拓扑信息表维护有各园区内设备之间的网络拓扑关系;
AP园区对应模块,用于根据接入点AP的基本信息通过拓扑信息表获取AP所接入的转发设备的设备基本信息,并根据所接入的转发设备的设备基本信息从设备信息表中获取转发设备所在的园区信息,得到每个AP所在园区;
AP园区信息同步模块,用于将AP及AP所在园区的信息同步给认证服务器,以使认证服务器根据预设接入策略为无线用户进行接入认证;所述预设接入策略内容包括:根据无线用户所接入的AP所在园区为该无线用户分配对应安全组的业务虚拟局域网络VLAN。
进一步地,所述装置还包括:
配置模块,用于配置与园区对应的安全组,且授权不同园区的安全组分别使用不同的业务VLAN。
本公开中,SDN控制器收集转发设备信息及网络拓扑信息,并通过AP基本信息关联转发设备信息和网络拓扑信息从而获得AP与AP所接入园区的对应关系;认证服务器从认证报文中获取AP基本信息,并查询AP所在园区,为无线用户分配所接入AP所在园区的安全组对应的业务VLAN,从而使得认证服务器可以区分每个无线用户所接入的园区,根据园区分配业务VLAN。本公开实现了单AC多园区相同SSID无线网络中,无线用户无感知的园区无线网络的切换,从而提升用户体验。
附图说明
为了更加清楚地说明本公开实施例或者现有技术中的技术方案,下面将对本公开实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本公开实施例的这些附图获得其他的附图。
图1为本公开一实施例中多园区共用AC场景下的组网示意图;
图2为本公开一实施例提供的无线网络提供方法的步骤流程图;
图3为本公开一实施例提供应用于认证服务器的无线网络提供装置的逻辑结构示意图;
图4为本公开一实施例提供的应用于SDN控制器的无线网络提供该装置的逻辑结构示意图;
图5为本公开一实施例提供的一种用于实例化无线网络提供装置300或装置400的设备结构示意图。
具体实施方式
在本公开实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本公开实施例。本公开实施例中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。本公开中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1为本公开一实施例中多园区共用AC场景下的组网示意图。针对多园区共用一个接入控制器,无线用户在不同园区迁移的场景下,通常方案是在不同园区的AP需要配置不同的SSID,根据不同的SSID作为接入条件,保证不同园区的无线用户认证时,认证服务器可以授权对应园区的业务VLAN,无线用户在不同园区使用不同VLAN进入对应园区的VXLAN访问业务。
通常每个园区设置各自的AC,不同园区AP配置不同的SSID,保证无线用户跨园区迁移时,成功上线和访问业务。无线用户跨园区迁移时,需要提前咨询不同园区的SSID,通过连接不同的SSID才能上线和访问业务,无法无感知上线。通过不同SSID来划分用户权限,工作量大且接入控制器无法区分从不同园区接入的AP,即无法感知AP的实际物理接入位置。
本公开的发明目的是实现图1中SSID1与SSID2相同场景下,无线用户跨园区迁移时,使用同一个SSID就可以接入网络访问业务,无需在不同园区配置不同SSID,真正满足无线用户跨园区无感知漫游/迁移。
图2为本公开一实施例提供的无线网络提供方法的步骤流程图,该方法从整体上概括性地给出了实现本公开之发明目的的基本实现步骤,该方法中所涉及到的多个物理或虚拟实体通过执行各自负责的一个或多个步骤,相互协作共同实现本公开发明之目的。该方法应用于多个园区共用一个接入控制器AC,多个园区通过大二层互连技术-例如VXLAN互连,由SDN控制器对整个园区网络进行管理,由认证服务器对接入的无线用户进行接入认证的组网环境中,所述多个园区中的AP绑定相同的SSID,该方法包括:
步骤201.SDN控制器获取所管理的各园区内的转发设备的设备信息及网络拓扑信息,维护设备信息表和拓扑信息表;其中,设备信息表中维护有各转发设备的基本信息及转发设备所在园区的园区信息,拓扑信息表维护有各园区内设备之间的网络拓扑关系。
所述设备基本信息包括用于唯一标识一个设备的设备标识及网络地址信息,包括但不限于:设备标识、设备名称、设备IP地址、设备MAC地址。
SDN控制器负责建立设备信息表并负责搜集设备信息,根据设备信息在设备信息表中生成对应的设备信息记录,当有新增设备、删除设备或设备信息更新时,负责维护最新的设备信息。
步骤202.SDN控制器根据接入点AP的基本信息通过拓扑信息表获取AP所接入的转发设备的设备基本信息,并根据所接入的转发设备的设备基本信息从设备信息表中获取转发设备所在的园区信息,得到每个AP所在园区。
所述AP的基本信息包括但不限于AP名称和/或AP的MAC地址。得到AP与园区的对应关系后,SDN控制器可建立和维护维护一个用于反映AP所在园区的AP园区信息表,AP园区信息表中存储了每个AP的基本信息及AP所在园区的园区信息。
步骤203.SDN控制器将AP及AP所在园区的信息同步给认证服务器,认证服务器根据预设接入策略为无线用户进行接入认证;所述预设接入策略内容包括:根据无线用户所接入的AP所在园区为该无线用户分配对应安全组的业务VLAN。
当无线用户接入从某个园区的AP接入时,会自动触发接入认证流程,认证报文中会携带无线用户所接入的AP的基本信息-例如MAC地址,接入报文需要通过AC转发给认证服务器,认证服务器根据认证报文中AP基本信息查询AP所在园区,为无线用户分配所接入AP所在园区的安全组对应的业务VLAN。通过上述步骤,使得认证服务器可以区分每个用户所接入AP所在的园区,根据AP所在园区分配为无线用户分配该园区对应的安全策略和业务VLAN,不同的园区对应不同的业务VLAN,由于所有园区都使用相同的SSID,所以当用户从一个园区移动到另一个园区时,可以实现无感知的园区无线网络的切换,从而提升用户体验。
以下参考图1的组网拓扑,以具体实施例的形式详细说明本公开提供的无线网络提供方法的步骤,该实施例的组网与图1所示组网的一个重要不同点是,该实施例中各分区的AP都绑定相同的SSID。接入控制器AC旁挂到园区1的核心主干Spine节点,园区1和园区2中的所有AP都在AC完成注册,以无线用户在园区1和园区2上线为例,详细介绍本公开提供过的无线网络提供方法的步骤流程:
步骤301.控制器纳管园区的网络设备,配置无线二层网络域和安全组,AP向AC注册成功;控制器通过读取纳管设备的链路层发现协议(Link Layer Discovery Protocol,LLDP)信息,维护整网的拓扑图;
步骤302.根据控制器纳管的设备信息,后台维护一个设备信息表tbl_device,如表1所示,主要信息为:
表1设备信息表
| dev_id | dev_sysname | dev_ip | dev_brige_mac | location |
| 901 | Spine1 | 120.0.1.1 | 487a-da0c-8600 | 园区1 |
| 902 | Leaf1 | 120.0.1.2 | 00e0-fc1f-8c00 | 园区1 |
| 903 | Access1 | 120.0.1.3 | 9428-2ECB-F050 | 园区1 |
| 2001 | Spine2 | 121.0.1.1 | 346b-5b88-8467 | 园区2 |
| 2002 | Leaf2 | 121.0.1.2 | 88df-9e62-eb10 | 园区2 |
| 2003 | Access2 | 121.0.1.3 | 00d0-fc00-5200 | 园区2 |
dev_sysname:设备名字;dev_ip:设备管理IP;dev_brige_mac:设备MAC地址;location:设备物理位置
步骤303.根据控制器收集的拓扑信息,控制器新增一个拓扑信息表tbl_topo,如表2所示,主要信息为:
表2拓扑信息表
| link_id | from_dev_brige_mac | from_dev_sysname | to_dev_brige_mac | to_deve_sysname |
| link0 | 487a-da0c-8600 | Spine1 | 00e0-fc1f-8c00 | Leaf1 |
| link1 | 00e0-fc1f-8c00 | Leaf1 | 9428-2ECB-F050 | Access1 |
| link2 | 9428-2ECB-F050 | Access1 | 487a-da59-5070 | AP1 |
| Link4 | 346b-5b88-8467 | Spine2 | 88df-9e62-eb10 | Leaf2 |
| Link5 | 88df-9e62-eb10 | Leaf2 | 00d0-fc00-5200 | Access2 |
| Link6 | 00d0-fc00-5200 | Access2 | 3897-d653-02a0 | AP2 |
from_dev_brige_mac:拓扑链路源设备的MAC地址;from_dev_sysname:拓扑链路源设备的名字;to_dev_brige_mac:拓扑链路目的设备的MAC地址;from_dev_sysname:拓扑链路目的设备的名字
步骤304.根据AP的MAC地址信息,查找tbl_topo表,找到直连Access接入设备或者直连Leaf汇聚设备的MAC地址;然后查找tbl_device表,找到直连Access/直连Leaf的MAC地址对应的位置信息,生成如下AP园区信息表,如表3所示:
表3AP园区信息表
| location | ap_sysname | dev_bridge_mac |
| 园区1 | AP1 | 487a-da59-5070 |
| 园区2 | AP2 | 3897-d653-02a0 |
步骤305.SDN Controller向认证服务器同步AP园区信息表,认证服务器根据AP园区信息表中存储的AP接入园区和AP的基本信息,对AP进行分组,将园区1的AP加入园区1AP分组,园区2的AP加入园区2的AP分组,认证服务器在本地生成AP园区分组表,用于记录每个AP的基本信息、所在园区及园区分组,通过AP园区分组表能够获知每个无线AP的物理位置,如表4所示:
表4AP园区分组表
| ap_group | situation | ap_sysname | dev_bridge_mac |
| 园区1AP分组 | 园区1 | AP1 | 487a-da59-5070 |
| 园区2AP分组 | 园区2 | AP2 | 3897-d653-02a0 |
步骤306.认证服务器为预先配置有园区1接入策略和园区2接入策略。园区1接入策略为园区1的接入用户分配园区1AP分组,安全组选择园区1安全组1;园区2接入策略为园区2的接入用户分配园区2AP分组,安全组选择园区2安全组2。
步骤307.在SDN控制器上配置园区1安全组1和园区2安全组2,安全组1授权使用VLAN1,安全组2授权使用VLAN2。
为了使无线用户在两个园区中拥有相同的访问权限,可以为安全组1和安全组2分配相同的访问权限,保证无线用户跨园区迁移,策略随行。
步骤308.无线AC上预先配置所有园区的AP都绑定相同的SSID。
为了方便配置,可在AC上预先配置无线服务模板,园区1和园区2的所有AP绑定同一个无线服务模板,无线服务模板都使用同一个SSID。
步骤309.当无线用户在园区1接入网络时,通过连接AP1的SSID1发起认证,AC作为网络接入服务器(Network Access Server,NAS)中继无线用户的认证报文到认证服务器,认证服务器根据认证报文中的MAC地址查询AP园区分组表得到AP1对应园区1AP分组。假设使用Radius认证协议的话,Radius认证报文中callled-station-id 30号属性中可携带AP的MAC地址,假设MAC为487a-da59-5070,查询AP园区分组表得到AP1对应园区1AP分组,认证服务器授权无线用户使用园区1AP分组对应的安全组1的业务VLAN1;认证通过之后,无线业务流量通过VLAN1映射到园区1的VXLAN1网络,访问相应的业务;
步骤310.当该无线用户移动到园区2时,由于两个园区使用相同的SSID,无线用户会自动连接AP2,并自动在园区2发起认证,认证服务器从认证报文中获取AP的MAC地址,例如通过Radius认证报文中的callled-station-id 30号属性读取无线AP2的mac地址,假设为3897-d653-02a0,然后查询AP园区分组表,获知AP2对应园区2AP分组。认证服务器授权无线用户使用园区2AP分组对应的安全组2的业务VLAN2,无线业务流量通过VLAN2映射到园区2的VXLAN2网络,访问相同的业务,实现跨园区无感知漫游迁移。
应当认识到,本公开的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术,包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现,其中如此配置的存储介质使得计算机以特定和预定义的方式操作。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。
此外,可按任何合适的顺序来执行本公开描述的过程的操作,除非本公开另外指示或以其他方式明显地与上下文矛盾。本公开描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
进一步,所述方法可以在可操作地连接至合适的任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本公开的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算平台,如硬盘、光学读取和/或写入存储介质、RAM、ROM等,使得其可由可编程计算机读取,当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时,本公开所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本公开所述的方法和技术编程时,本公开还包括计算机本身。
图3为本公开一实施例提供应用于认证服务器的无线网络提供装置的逻辑结构示意图,该认证服务器位于包括多个园区的无线网络中,多个园区通过大二层互连技术互连且共用一个接入控制器AC,多个园区中的AP绑定相同的服务集标识SSID,该装置300包括:接收模块310、园区获取模块320、认证模块330。
接收模块310用于接收到无线用户的认证报文时,从认证报文中获取AP基本信息;
园区获取模块320用于根据AP基本信息获取AP所在的园区;AP与AP所在园区的对应关系由软件定义网络SDN控制器同步获得;
认证模块330用于根据AP所在的园区的接入策略为无线用户进行接入认证,所述预设接入策略内容包括:根据无线用户所接入的AP所在园区为该无线用户分配对应安全组的业务虚拟局域网络VLAN。
进一步地,该装置300还包括园区分组模块340,用于对由SDN控制器同步获得的AP与AP所在园区的对应关系进行分组,将同一园区内的AP分配到同一园区分组中;认证模块330根据无线用户所接入的AP所在园区对应的园区分组,为该无线用户分配该园区分组对应安全组的业务VLAN。
图4为本公开一实施例提供的应用于SDN控制器的无线网络提供该装置的逻辑结构示意图,该SDN控制器用于管理由多个园区组成的无线网络,多个园区通过大二层互连技术互连,共用一个接入控制器AC,多个园区中的AP绑定相同的服务集标识SSID,该装置400包括:信息获取模块410、AP园区对应模块420、AP园区信息同步模块430。
信息获取模块410用于获取所管理的各园区内的转发设备的设备信息及网络拓扑信息,维护设备信息表和拓扑信息表;其中,设备信息表中维护有各转发设备的基本信息及转发设备所在园区的园区信息,拓扑信息表维护有各园区内设备之间的网络拓扑关系;
AP园区对应模块420用于根据接入点AP的基本信息通过拓扑信息表获取AP所接入的转发设备的设备基本信息,并根据所接入的转发设备的设备基本信息从设备信息表中获取转发设备所在的园区信息,得到每个AP所在园区;
AP园区信息同步模块430用于将AP及AP所在园区的信息同步给认证服务器,以使认证服务器根据预设接入策略为无线用户进行接入认证;所述预设接入策略内容包括:根据无线用户所接入的AP所在园区为该无线用户分配对应安全组的业务虚拟局域网络VLAN。
进一步地,装置400还包括配置模块440,用于配置与园区对应的安全组,且授权不同园区的安全组分别使用不同的业务VLAN。
图5为本公开一实施例提供的一种用于实施例化无线网络提供装置300或装置400的设备结构示意图,该设备500包括:诸如中央处理单元(CPU)的处理器510、内部总线520、网络接口540以及计算机可读存储介质530。其中,处理器510与计算机可读存储介质530可以通过内部总线520相互通信。计算机可读存储介质530内可存储本公开提供的无线网络提供方法的计算机程序,当计算机程序被处理器510执行时即可在内存中实例化出装置300或装置400,从而实现本公开提供的无线网络提供方法的各步骤功能。
机器可读存储介质可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。另外,机器可读存储介质1202还可以是至少一个位于远离前述处理器的存储装置。处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本公开实施例提供的设备与本公开实施例提供的方法出于相同的技术构思,具有与其采用、运行或实现的方法相同的有益效果。
以上所述仅为本公开的实施例而已,并不用于限制本公开。对于本领域技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (11)
1.一种无线网络提供方法,其特征在于,所述无线网络包括多个园区,多个园区共用一个接入控制器AC,多个园区通过大二层互连技术互连,所述多个园区中的AP绑定相同的服务集标识SSID,该方法应用于认证服务器,该方法包括:
认证服务器接收到无线用户的认证报文时,从认证报文中获取AP基本信息;
认证服务器根据AP基本信息获取AP所在的园区;AP与AP所在园区的对应关系由软件定义网络SDN控制器同步获得;
根据AP所在的园区的预设接入策略为无线用户进行接入认证,所述预设接入策略内容包括:根据无线用户所接入的AP所在园区为该无线用户分配对应安全组的业务虚拟局域网络VLAN。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对由SDN控制器同步获得的AP与AP所在园区的对应关系进行分组,将同一园区内的AP分配到同一园区分组中;
所述根据AP所在的园区的接入策略为无线用户进行接入认证具体为:
所述预设接入策略具体为针对园区分组的接入策略,所述接入策略内容包括:根据无线用户所接入的AP所在园区对应的园区分组,为该无线用户分配该园区分组对应安全组的业务VLAN。
3.根据权利要求1所述的方法,其特征在于,
所述的大二层互连技术为可扩展虚拟局域网VXLAN;
所述AP基本信息为AP的MAC地址。
4.一种无线网络提供方法,其特征在于,所述无线网络包括多个园区,多个园区共用一个接入控制器AC,多个园区通过大二层互连技术互连,所述多个园区中的AP绑定相同的服务集标识SSID,该方法应用于软件定义网络SDN控制器,该方法包括:
所述SDN控制器获取所管理的各园区内的转发设备的设备信息及网络拓扑信息,维护设备信息表和拓扑信息表;其中,设备信息表中维护有各转发设备的基本信息及转发设备所在园区的园区信息,拓扑信息表维护有各园区内设备之间的网络拓扑关系;
所述SDN控制器根据接入点AP的基本信息通过拓扑信息表获取AP所接入的转发设备的设备基本信息,并根据所接入的转发设备的设备基本信息从设备信息表中获取转发设备所在的园区信息,得到每个AP所在园区;
SDN控制器将AP及AP所在园区的信息同步给认证服务器,以使认证服务器根据预设接入策略为无线用户进行接入认证;所述预设接入策略内容包括:根据无线用户所接入的AP所在园区为该无线用户分配对应安全组的业务虚拟局域网络VLAN。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
所述SDN控制器配置有与园区对应的安全组,且授权不同园区的安全组分别使用不同的业务VLAN。
6.根据权利要求5所述的方法,其特征在于,
所述的大二层互连技术为可扩展虚拟局域网VXLAN;
所述AP的基本信息包括AP名称和/或AP的MAC地址。
7.一种无线网络提供装置,其特征在于,该装置应用于认证服务器,所述认证服务器位于包括多个园区的无线网络中,所述多个园区通过大二层互连技术互连且共用一个接入控制器AC,所述多个园区中的AP绑定相同的服务集标识SSID,该装置包括:
接收模块,用于接收到无线用户的认证报文时,从认证报文中获取AP基本信息;
园区获取模块,用于根据AP基本信息获取AP所在的园区;AP与AP所在园区的对应关系由软件定义网络SDN控制器同步获得;
认证模块,用于根据AP所在的园区的预设接入策略为无线用户进行接入认证,所述预设接入策略内容包括:根据无线用户所接入的AP所在园区为该无线用户分配对应安全组的业务虚拟局域网络VLAN。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
园区分组模块,用于对由SDN控制器同步获得的AP与AP所在园区的对应关系进行分组,将同一园区内的AP分配到同一园区分组中;
所述认证模块根据无线用户所接入的AP所在园区对应的园区分组,为该无线用户分配该园区分组对应安全组的业务VLAN。
9.一种无线网络提供装置,其特征在于,该装置应用于SDN控制器,所述SDN控制器用于管理由多个园区组成的无线网络,所述多个园区通过大二层互连技术互连,共用一个接入控制器AC,所述多个园区中的AP绑定相同的服务集标识SSID,该装置包括:
信息获取模块,用于获取所管理的各园区内的转发设备的设备信息及网络拓扑信息,维护设备信息表和拓扑信息表;其中,设备信息表中维护有各转发设备的基本信息及转发设备所在园区的园区信息,拓扑信息表维护有各园区内设备之间的网络拓扑关系;
AP园区对应模块,用于根据接入点AP的基本信息通过拓扑信息表获取AP所接入的转发设备的设备基本信息,并根据所接入的转发设备的设备基本信息从设备信息表中获取转发设备所在的园区信息,得到每个AP所在园区;
AP园区信息同步模块,用于将AP及AP所在园区的信息同步给认证服务器,以使认证服务器根据预设接入策略为无线用户进行接入认证;所述预设接入策略内容包括:根据无线用户所接入的AP所在园区为该无线用户分配对应安全组的业务虚拟局域网络VLAN。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
配置模块,用于配置与园区对应的安全组,且授权不同园区的安全组分别使用不同的业务VLAN。
11.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序当被处理器执行时实现如权利要求1至6中任一项的方法步骤功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011196671.1A CN112333711B (zh) | 2020-10-30 | 2020-10-30 | 无线网络提供方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011196671.1A CN112333711B (zh) | 2020-10-30 | 2020-10-30 | 无线网络提供方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112333711A CN112333711A (zh) | 2021-02-05 |
| CN112333711B true CN112333711B (zh) | 2022-04-01 |
Family
ID=74322853
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011196671.1A Active CN112333711B (zh) | 2020-10-30 | 2020-10-30 | 无线网络提供方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112333711B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992513B (zh) * | 2021-10-26 | 2023-10-27 | 新华三信息安全技术有限公司 | 一种设备信息托管方法和装置 |
| CN116980247B (zh) * | 2023-09-22 | 2024-01-16 | 广州市成格信息技术有限公司 | 一种基于软件定义局域网实现ip随行的方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103095654A (zh) * | 2011-10-31 | 2013-05-08 | 华为技术有限公司 | 配置虚拟局域网vlan信息的方法、无线接入点和网络控制点 |
| CN103582068A (zh) * | 2012-07-30 | 2014-02-12 | 中兴通讯股份有限公司 | 一种无线接入方法和系统 |
| CN105430688A (zh) * | 2015-11-13 | 2016-03-23 | 重庆邮电大学 | 一种基于软件定义网络的wlan架构 |
| CN105516960A (zh) * | 2015-12-09 | 2016-04-20 | 上海斐讯数据通信技术有限公司 | 无感知认证方法系统,基于该方法系统的管理方法、系统 |
| EP3094043A1 (en) * | 2014-02-28 | 2016-11-16 | Huawei Technologies Co., Ltd. | Method and apparatus for establishing wireless local area network tunnel and access network system |
| CN110650075A (zh) * | 2018-06-26 | 2020-01-03 | 华为技术有限公司 | 基于vxlan的组策略实现方法、网络设备和组策略实现系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10944734B2 (en) * | 2018-08-17 | 2021-03-09 | Cisco Technology, Inc. | Creating secure encrypted broadcast/multicast groups over wireless network |
-
2020
- 2020-10-30 CN CN202011196671.1A patent/CN112333711B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103095654A (zh) * | 2011-10-31 | 2013-05-08 | 华为技术有限公司 | 配置虚拟局域网vlan信息的方法、无线接入点和网络控制点 |
| CN103582068A (zh) * | 2012-07-30 | 2014-02-12 | 中兴通讯股份有限公司 | 一种无线接入方法和系统 |
| EP3094043A1 (en) * | 2014-02-28 | 2016-11-16 | Huawei Technologies Co., Ltd. | Method and apparatus for establishing wireless local area network tunnel and access network system |
| CN105430688A (zh) * | 2015-11-13 | 2016-03-23 | 重庆邮电大学 | 一种基于软件定义网络的wlan架构 |
| CN105516960A (zh) * | 2015-12-09 | 2016-04-20 | 上海斐讯数据通信技术有限公司 | 无感知认证方法系统,基于该方法系统的管理方法、系统 |
| CN110650075A (zh) * | 2018-06-26 | 2020-01-03 | 华为技术有限公司 | 基于vxlan的组策略实现方法、网络设备和组策略实现系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112333711A (zh) | 2021-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111010673B (zh) | 一种通信方法及装置 | |
| WO2019157955A1 (zh) | 设备接入方法、相关平台及计算机存储介质 | |
| CN109417492B (zh) | 一种网络功能nf管理方法及nf管理设备 | |
| CN103607430A (zh) | 一种网络处理的方法和系统及网络控制中心 | |
| CN107733795B (zh) | 以太网虚拟私有网络evpn与公网互通方法及其装置 | |
| CN112333711B (zh) | 无线网络提供方法、装置及存储介质 | |
| CN111224821A (zh) | 安全服务部署系统、方法及装置 | |
| US11140043B2 (en) | Wireless client onboarding and segmentation | |
| CN110535744A (zh) | 报文处理方法、装置及Leaf设备 | |
| CN108075927A (zh) | 组网方法、私有云平台及存储介质 | |
| US20200162467A1 (en) | System and method for migrating existing access control list policies to intent based policies and vice versa | |
| CN106921610A (zh) | 访问控制方法和网络设备 | |
| CN111371664A (zh) | 一种虚拟专用网络接入方法及设备 | |
| CN108234270B (zh) | 实现虚拟可扩展局域网多域并存的方法和系统 | |
| CN116319296A (zh) | 一种跨sd-wan融合部署数据中心的方法及装置 | |
| CN104734930B (zh) | Vlan接入vf网络的实现方法及装置、fcf | |
| CN109194914B (zh) | 一种设备信息的处理方法和装置 | |
| CN104486193B (zh) | 一种建立网络节点互联的方法及装置 | |
| CN106027396A (zh) | 一种路由控制方法、装置和系统 | |
| CN106656566B (zh) | 一种基于ldap协议的第三方数据源认证上网管理方法 | |
| CN106612193A (zh) | 在虚拟化技术下的网络开局配置方法及装置 | |
| CN111163463A (zh) | 一种无线设备接入路由器的方法、装置、设备和存储介质 | |
| CN106656779B (zh) | 一种汇聚网关及其接入方法 | |
| WO2018006668A1 (zh) | 流量管理方法及装置 | |
| CN111147302B (zh) | 一种网络虚拟化实现方法及其系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |