多租户虚拟存取点网络资源虚拟化的方法.pdf

摘要
申请专利号：	CN201410199035.2	申请日：	2014.05.12
公开号：	CN104144205A	公开日：	2014.11.12
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04L 29/08申请日:20140512\|\|\|著录事项变更IPC(主分类):H04L 29/08变更事项:发明人变更前:陈镇翔卢威史瑞普瓦布·瑞米席变更后:陈进贤吕威史瑞普瓦布·瑞米席\|\|\|公开
IPC分类号：	H04L29/08; H04L12/46; H04L12/14	主分类号：	H04L29/08
申请人：	瑞雷2股份有限公司
发明人：	陈镇翔; 卢威; 史瑞普瓦布·瑞米席
地址：	美国加利福尼亚州
优先权：	2013.05.10 US 61/821,852
专利代理机构：	北京汇智英财专利代理事务所(普通合伙) 11301	代理人：	牟长林
PDF下载：	PDF下载

内容摘要

本发明涉及一种多租户虚拟存取点-网络资源虚拟化的方法，包括用于存取点的虚拟化的方法及一种无线网络系统。一管辖地持有者或管理者可在一物理管辖地位置配置多个无线存取点硬件单元。根据本发明的某些实施例，对应各所述无线存取点硬件单元的多组虚拟无线存取点可被释放给多个WLAN网络操作员。

权利要求书

1.  一种多租户虚拟存取点-网络资源虚拟化的方法，其特征在于，包括：
在一物理位置配置多个无线存取点硬件单元；
将多个虚拟无线存取点与在所述物理位置的各所述无线存取点硬件单元的一对应的无线存取点硬件单元结合；
向一第一WLAN网络操作员租赁各所述虚拟无线存取点的一第一子集；以及
向一第二WLAN网络操作员租赁各所述虚拟无线存取点的一第二子集。

2.  根据权利要求1所述的方法，其特征在于，进一步包括使用一云端控制器管理各所述虚拟无线存取点。

3.  根据权利要求1所述的方法，其特征在于，进一步包括允许所述第一WLAN网络操作员管理其不受与所述物理位置有关的任何其它WLAN网络操作员的IP地址分配。

4.  根据权利要求1所述的方法，其特征在于，进一步包括允许所述第二WLAN网络操作员管理其不受与所述物理位置有关的任何其它WLAN网络操作员的IP地址分配。

5.  根据权利要求1所述的方法，其特征在于，进一步包括允许所述物理位置的持有者通过租赁各所述虚拟无线存取点的至少一子集的虚拟无线存取点赚取收入。

6.  根据权利要求1所述的方法，其特征在于，进一步包括允许所述物理位置的持有者将横跨多个无线存点硬件单元的虚拟无线存取点集合起来。

7.  一种无线网络，其特征在于，包括：
多个无线存取点硬件单元在一管辖地配置，
其中各所述无线存取点硬件单元的一无线存取点硬件单元提供多个虚拟无线存取点；
其中，
各所述无线存取点硬件单元由所述管辖地的一操作员所有；
各所述虚拟无线存取点的一第一子集的虚拟无线存取点由一第一WLAN提供者所有；
各所述虚拟无线存取点的一第二子集的虚拟无线存取点由一第二WLAN提供者所有。

8.  根据权利要求7所述的无线网络，其特征在于，进一步包括至少一个用以管理各所述虚拟无线存取点的云端控制器。

9.  根据权利要求7所述的方法，其特征在于，各所述虚拟无线存取点可横跨多个无线存取点硬件单元被集合起来。

10.  根据权利要求7所述的方法，其特征在于，各所述虚拟无线存取点的所述第一子集的虚拟无线存取点，与可不受相关于所述第二子集的虚拟无线存取点的一第二子集的IP地址分配的一第一组IP地址相关。

11.  根据权利要求7所述的方法，其特征在于，各所述虚拟无线存取点的每个群组与一服务设定识别符相关。

12.  根据权利要求7所述的方法，其特征在于，各所述虚拟无线存取点的每个群组与一独特群组名。

说明书

多租户虚拟存取点-网络资源虚拟化的方法
技术领域
本发明属在电子通讯领域，更具体地说，有关于无线保真(WiFi)网络架构及服务。
背景技术
在电子通讯方面，随着于需求方面的渐增与技术的逐渐纯熟，与无线保真(WiFi)相关的网络架构及服务的重要性也逐渐增加。惟目前的无限保真技术在使用上仍有其限制，因此存在有改善的需求。
发明内容
针对现有技术中存在的不足，本发明的目的在于提供一种多租户虚拟存取点-网络资源虚拟化的技术及一种无线网络，以改善目前在服务方面的无限保真技术。
本发明一种多租户虚拟存取点-网络资源虚拟化的技术的技术方案如下：
一种多租户虚拟存取点-网络资源虚拟化的方法，包括：
在一物理位置配置多个无线存取点硬件单元；
将多个虚拟无线存取点与在所述物理位置的各所述无线存取点硬件单元的一对应的无线存取点硬件单元结合；
向一第一WLAN网络操作员租赁各所述虚拟无线存取点的一第一子集；以及
向一第二WLAN网络操作员租赁各所述虚拟无线存取点的一第二子集。
上述的方法，进一步包括使用一云端控制器管理各所述虚拟无线存取点。
上述的方法，进一步包括允许所述第一WLAN网络操作员管理其不受与所述物理位置有关的任何其它WLAN网络操作员的IP地址分配。
上述的方法，进一步包括允许所述第二WLAN网络操作员管理其不受与所述物理位置有关的任何其它WLAN网络操作员的IP地址分配。
上述的方法，进一步包括允许所述物理位置的持有者通过租赁各所述虚拟无线存取点的至少一子集的虚拟无线存取点赚取收入。
上述的方法，进一步包括允许所述物理位置的持有者将横跨多个无线存点硬件单元的虚拟无线存取点集合起来。
本发明还公开了一种无线网络，其技术方案为：
一种无线网络，包括：
多个无线存取点硬件单元在一管辖地配置，
其中各所述无线存取点硬件单元的一无线存取点硬件单元提供多个虚拟无线存取点；
其中，
各所述无线存取点硬件单元由所述管辖地的一操作员所有；
各所述虚拟无线存取点的一第一子集的虚拟无线存取点由一第一WLAN提供者所有；
各所述虚拟无线存取点的一第二子集的虚拟无线存取点由一第二WLAN提供者所有。
上述的无线网络，进一步包括至少一个用以管理各所述虚拟无线存取点的云端控制器。
上述的无线网络，各所述虚拟无线存取点可横跨多个无线存取点硬件单元被集合起来。
上述的无线网络，各所述虚拟无线存取点的所述第一子集的虚拟无线存取点，与可不受相关于所述第二子集的虚拟无线存取点的一第二子集的IP地址分配的一第一组IP地址相关。
上述的无线网络，各所述虚拟无线存取点的每个群组与一服务设定识别符相关。
上述的无线网络，各所述虚拟无线存取点的每个群组与一独特群组名。
本发明的有益效果为：提供一种多租户虚拟存取点-网络资源虚拟化的技术及一种无线网络，以改善目前在服务方面的无限保真技术，降低无限保真技术在使用上的限制，且其对应各所述无线存取点硬件单元的多组虚拟无线存取点可被释放给多个WLAN网络操作员，以供赚取收入。
附图说明
图1显示根据某些实施例的虚拟企业存取点网络架构方面的高阶网络图。
图2显示根据某些实施例的与存取点相关的发现和注册协议方面的高阶参考图。
图3显示根据某些实施例的云端点对点VPN动态连结方面的高阶网络图。
图4显示根据某些实施例的无线移动领域管理方面的高阶参考图。
图5显示根据某些实施例的漫游范围预测方面的高阶参考图。
图6为一根据某些实施例的子网络地址信息和漫游锚存取点地址的样本数据格式表。
图7显示根据某些实施例的云端第3层网络的移动性控制方面的高阶网络图。
图8显示根据某些实施例在一存取点的快速网络数据储存路径设计方面的高阶网络示意图。
图9显示根据某些实施例的存取点间通讯方面的高阶网络图。
其中：
102 中继2 云端控制器
104a、104b 载体-2 因特网
104c 载体-3 因特网
105a 载体-1 WiFi
105b 载体-2 WiFi
105c 载体-3 WiFi
107 数据路径
108a-c 控制路径
110a-d 存取点(AP)
201存取点
202 SCM
203 数据库
204 控制器丛集
205 NMS
206 DNS服务器
207 步骤
208 CAPWAP：DTLS对话建立授权凭证
209 CAPWAP：加入请求
210 报告负载/容量/健康状况
304a-e 云端控制器
305a-b 安全通道
306a-d VPN服务器引擎
307 VPN流量
308a-b 无线装置
402 S.F.总部移动领域
403 圣荷西分部移动领域
404 米尔皮塔斯分部移动领域
405 库比蒂诺分部移动领域
601 子网络地址
602 锚AP地址
701 中继2云端控制器
703 锚AP
706、905 无线客户端
801 WiFi驱动器
802 网络驱动器
803 硬盘驱动器
805 档案系统
806 应用程序
808 OS核心
903 存取点间通讯。
具体实施方式
本发明的某些实施例由专利参考文献所构成，其中的示例阐述于附图中。当本发明连同上述的实施例被描述说明时，应了解到，本发明并不仅限于这些特定的实施例。而是涵盖了在本发明的精神与范畴内的选择、变化及同等的实施方式。相应地，本说明书及图式都视为解说例证而非限制观念。
并且，在以下说明中，诸多详细阐述均列举以提供对本发明的全面性的理解。然而，显而易见的是，本领域的技术人员在没有这些详细阐述下也可实施本发明。对于其它本领域的技术人员所知悉的示例、方法、步骤、组件及网络，在此并不加以论述，以避免模糊本发明的技术思想。
根据某些实施例，一虚拟企业存取点(VEAP)控制及管理系统使用以提供企业阶虚拟存取点(AP)和高性能企业AP硬件。根据某些特定实施例，企业阶虚拟AP的配置消除对一大量AP配置的需要，继而减少信号干涉。此外，所述VEAP系统以集中及协调的方式管理各所述AP。VEAP在此也作为虚拟存取点(VAP)。
根据某些实施例，所述VEAP系统包括一双重共有持有者模型：1)所述企业AP硬件的持有者，及2)使用所述企业AP硬件(在此指“虚拟AP”)的所述网络服务持有者。
例如，所述企业AP硬件的持有者，较佳地为房地产(在此指“网络管辖地持有者”)的地主或持有者，其中所述物理无线网络基本架构(包括所述企业AP硬件)被配置。在所述物理无线网络基本架构上运行的WLAN的持有者，较佳地所述服务提供者(SP)或从所述网络管辖地持有者释放虚拟AP的载体。
根据某些实施例，所述网络管辖地持有者管理及控制所述企业AP硬件资源的使用。例如，所述企业AP硬件可提供8到16个虚拟AP。一虚拟AP的花费只有一物理企业AP的花费的一部分。此外，通过所述管辖地持有者的集中管理，可减少对AP的管理和侦错，其中所述管辖地持有者提供所述物理AP网络的服务。所述SP可使用所述虚拟AP制造及操作所述WLAN。所以，所述SP无需配置所述企业AP硬件和相关基本架构即可管理所述WLAN。
图1显示根据某些实施例的虚拟企业存取点网络架构方面的高阶网络图。图1显示根据某些实施例，所述VEAP网络架构包括一云端控制器102、一或多个载体因特网104a-c、一或多个载体WiFi 105a-c，以及多个AP 110a-d。云端控制器102通过控制路径108a-c控制所述载体WiFi 105a-c。云端控制器102通过数据路径107a-d与各所述AP110a-d沟通。所述VEAP架构影响现有的WiFi芯片组供货商通过外部网络(如：载体网络)云端有效垂直管理的虚拟AP(VAP)技术。根据某些实施例，所述VAP的管理技术提供网络接口至所述外部网络。此外，所述VEAP架构提供用于多载体的多租赁支持，以分享所述AP架构的管理。所述网络管辖地持有者(所述房地产及所述AP硬件和架构)精通管理所述管辖地。因此，根据某些实施例，所述网络管辖地持有者或管理者可提供高质量无线网络架构服务给所述载体/SP及企业阶虚拟AP，并可以分配所述企业阶AP硬件及相关架构的一部分的花费远程集中化WLAN的管理。
因此，上述的VEAP架构有益于所有类型的WiFi网络服务。行动客户接收企业阶无线网络服务。所述管辖地持有者借由释放所述AP架构给多载体/SP接收可回复性收益。各所述载体/SP可无需购买或分配昂贵的企业阶AP硬件。因此，所述载体/SP可使用节省下来的费用以提供额外的增值服务给所述行动客户并增加服务收益。
根据某些实施例，所述存取点(AP)的虚拟化对允许所述存取点硬件资源从所述网络资源分别管理产生益处。如非限定的示例，存取点硬件资源包括无线空间资源、内存及以太网络接口。如非限定的示例，网络资源包括存取点网络桥接、IP网络及网络服务器。根据某些实施例，所述管辖地持有者或管理者可管理及控制所述存取点硬件和与所述存取点硬件相关的资源。所述WLAN操作员可管理及控制所述网络资源及所述虚拟存取点。
此外，根据某些实施例，所述AP资源可被虚拟化。如非限定的示例，一WLAN操作员可释放与所述存取点有关的内存资源的使用给一或多个商业实体(例如：一或多个信息网商业公司)。在一些情况下，所述管辖地持有者/管理者也为一载体网络。根据某些实施例，在此种情况中，所述一或多个信息网商业公司可从所述管辖地持有者/管理者租用AP内存资源。如非限定的示例，所述一或多个信息网商业公司可释放内存资源，用于广告及推广活动、应用程序存储、视讯存储、内文存储、客户流量分析、因特网存取控制、应用程序分配及内文分配。基于如：广告及推广活动、应用程序存储、视讯存储、内文存储、客户流量分析、因特网存取控制、应用程序分配及内文分配等的相同目的，所述WLAN操作员也可使用其AP内存资源，而这些资源是他们尚未释放给信息网商业公司或其它公司的。
根据某些实施例，所述云控制器一多租赁云端控制器。所述多租赁云端控制器包括运行独立的租赁控制器或虚拟控制器的多丛集服务器。根据某些实施例，一云端网站控制器管理者(SCM)用来帮助一给定的AP在各所述丛集服务器之间辨识所述AP的相对应虚拟控制器。例如，当一给定的AP对外发送一“无线存取点的控制及供应”(CAPWAP)探索请求，所述SCM截取此CAPWAP请求。所述CAPWAP请求包括所述AP的媒体存取控制地址(MAC地址)及用于与所述AP相关的特定租户账户的凭证。因此，所述SCM可查找所述AP的MAC地址并将与所述特定的AP有关的特定的租户控制器的地址回传给所述AP。所述AP继而可使用正确的租户控制器地址而非使用一试错法发送请求给每个租户控制器，直接初始一CAPWAP协议对话。
图2显示根据某些实施例的与存取点相关的探索和注册协议方面的高阶参考图。图2显示AP201、SCM202、数据库203、服务器丛集(或控制器丛集)204、网络管理系统205，及DNS服务器206。SCM202和AP201沟通以分配一合适的租户控制器212给AP201，以在AP201和相对应的租户控制器之间建立一在服务器丛集/控制器丛集204中的数据传输层安全协议(DTLS)对话208。所述AP201可从DNS服务器探索一列表的SCM。当所述DTLS对话208被建立，所述AP可发送一“加入”请求209给所述AP的在所述服务器丛集/控制器丛集204中的相对应租户控制器。当所述加入动作成功时，所述租户控制器报告所述AP的成功加入动作213。此外，所述租户控制器和其它的服务器丛集可报告信息210给所述数据库203。此信息可包括所述控制器的负载、容量及健康。
根据某些实施例的另一方面，所述SCM也作为一在所述多数据中心位置之间的协调者，服务在如本文所述的所述VEAP网络架构下的AP分配。在所述VEAP网络架构下，所述数据中心位置对所述管辖地持有者来说是透明的。根据某些实施例，每个数据中心在所述VEAP网络架构下可由任何AP存取。所述资料中心提供服务给任何管辖地持有者作为一主站或备份站。任何在一管辖地持有者的前提上所配置的给定的AP，可自动决定其相对应的资料中心，且无需借由所述管辖地持有者的命令配置即与其连接。所以，所述数据中心需要被所述AP自动地找到。所述SCM可为一在所述资料中心与在像是AP的一资料中心之间的协调者，使得在一管辖地持有者的前提上所配置的AP可加入所适合的数据中心及在所述数据中心的所相对应的租户控制器。
所述SCM在每个资料中心中的第一接触点。根据某些实施例，所述SCM具有下列特征：1)在每个数据中心配置一个SCM且所述SCM为第一接触点。所述SCM具有用以将所述AP的探索请求重导至合适的数据中心及在所述数据中心内的正确的租户控制器的必要知识，以建立在所述AP和其相对应的租户控制器之间的一对话；2)所述SCM可正确地重导并合计将所述AP连接至正确的数据中心位置，而非横跨不同的数据中心位置从相同的区域位置散布AP；3)借由给定的AP使用标准的DNS协议发现一列表的SCM。一AP可使用所述DNS信息(DNS纪录)与任何的SCM联络。因此，一AP可以一循环方式与所述列表的SCM联络，以发现用于注册的合适的数据中心位置。一旦所述注册为成功，所述AP可缓存所述SCM的地址以接着开启或启动注册请求。
根据某些实施例，云端点对点VPN网络使用来避免与用于一公司的子办公室的传统硬件VPN网关解决方案有关的问题。所述云端点对点VPN网络免除了与在所述公司的每个办公室站的个别的VPN网关有关的部属与维持所需的高额费用。
根据某些实施例，所述云端点对点VPN网络包括：1)一执行VPN网关的软件(软VPN网关)，以及2)一云端VPN控制器。配置在公司的子办公室站的所述AP可组配以作为一软VPN网关运行，其可对实时流量策略执行从所述云端VPN控制器下推的策略。所述云端VPN控制器提供中央VPN策略管理及VPN信道网络。因此，所述云端点对点VPN网络一软件解决方案，其使得IT员工无需在每个站安装或存取硬件VPN网关，即可轻易地修改/更新动态地在各种站点之间的VPN流量惯例路径。采用一用于无线网络的云端解决方案的公司也易于采用一用以连接公司的子办公室、零售店、销售点站的云端VPN解决方案。所以，所述VPN市场上看数百亿美元。
图3显示根据某些实施例的云端点对点VPN动态连结方面的高阶网络图。图3显示所述云端VPN网络包括云端企业WLAN控制器304a-e、VPN服务引擎306a-d、AP302a-b以及安全通道305a-b。其中，AP302a-b作为软VPN网关运行。例如，在公司站301，AP302a作为一软VPN网关运行；在公司站301，AP302a作为一软VPN网关运行。云端企业WLAN控制器304c、304e分别提供中央VPN策略管理给AP 302a、302b。VPN服务引擎306a-d动态提供用于公司站301、303之间VPN流量307的安全通道305a-b。无线装置308a、308b经由其各自AP 302a、302b及云端企业WLAN控制器304c、304e及相对应的安全通道305b沟通。
就传统的以硬件实施的企业WLAN控制器而言，每个硬件控制器物理地连接至一组AP。因此，所述组AP可成组被组配及管理。然而，对于本文所描述的用于WLAN的云端控制器的状况而言，AP非物理地连接至所述控制器。所以，像这样的AP组，不会以传统的观念聚集成组。在一给定的管辖地持有者站点，对大量的AP以成组组配施用是困难的，且各所述AP与云端WLAN控制器有关。根据某些实施例，无线移动领域产生以促进与云端WLAN控制器有关的AP的成组组配。根据某些实施例，一无线移动领域定义在相同域下管理的AP群组。在一给定的无线移动领域中的AP彼此相当接近地位于地面，且接近于AP所服务的无线客户。在一给定的无线移动领域中的AP分享相同的WLAN组配及策略。例如，一无线移动领域可在一特定位置用来定义AP的范围，像是每个远处于公司总部的公司子办公室。上述的例子中，用于每个公司子办公室的所述无线移动领域可具有不同的WLAN管理组配。因此，公司的IP员工通过所述无线移动领域的使用，可轻易且弹性地在每个子办公室应用不同的WLAN网络设定和策略。
图4显示根据某些实施例的通过无线移动领域的使用的AP管理方面的高阶参考图。图4显示一无线移动领域网络401，其包括一总部无线移动领域402及相对应的子无线移动领域403、404和405。所述无线移动领域402、403、404及405可具有不同的WLAN设定和策略。
在另一实施例，假定一大学校园在其每个所大楼有配置AP。所述大学具有使用一无线移动领域来管理在大学校园中所有AP的选择，或对其每个所的财产追踪使用个别的无线移动领域，或特定对在相同位置内的每个所或每个楼层的不同的管理目的。
L3移动性或漫游企业WLAN的一特色，其对无线客户端提供无缝地无线连接，所述无线客户端跨越不同的公司子网漫游。例如，若所述公司具有足够的WLAN RF覆盖，当所述无线客户端在所述公司的覆盖场附近漫游，则L3移动性可致使诸如VOIP及视讯流等实时应用程序，在无线客户端(如智能型手机、平板或笔记型计算机)上运行不中断。
为了达成L3的移动性， WLAN的产品需要执行以下操作：
1 ）将无线客户端的连接从一个AP快速切换到另一个上，以及
2 ）保持无线客户端在不同子网络上相同的IP地址
为避免无线客户端上实时运行中的应用程序中断或断线，快速切换是必要的。为执行无线客户端的连接从一个AP到另一个的快速切换，在无线客户端漫游到的新AP重新认证所需时间为小于40毫秒，或在某些情况下为小于20毫秒，取决于所述应用程序。在新AP的重新认证也被称为与新AP的“重新结合”。如果在新AP重新认证所需时间大于20毫秒，则可发生实时应用程序如VoIP的干扰或断线。认证所需时间在一个使用基于802.1X埠口存取控制的AAA服务器的一个良好的LAN环境中为大约40毫秒-80毫秒。
此外，当无线客户端漫游到与具有不同网络地址的子网络中相关联的一个新的AP 时，无线客户端将获得子网络的IP地址。当无线客户端的IP地址改变为新获得的IP地址时，在所述无线客户端上运行的应用程序（例如，网络电话或视讯串流）将中断。这种中断是不适合商业通讯的，并且对于维护网络安全策略也不适当。
为了提供适当的第3层（L3 ）的移动性，在无线客户端漫游于AP间时，传统的企业WLAN使用一个位于中心的硬件控制器作为唯一的身份验证，以避免在漫游期间需要在每个AP进行完整的重新认证。中央硬件控制器可以轻松地在中央控制器和无线客户端的本地子网络之间设置IP信道，其中无线客户端的IP地址为原先分配的，以使无线客户端可以继续使用原来的IP地址。然而，传统的硬件控制器解决方案并不适用在使用云端控制器作为公司/企业网络的WLAN，因为没有对公司网络的中央安装的控制器。作为在云端（因特网）中，由于不可预知且可能持久的网络延迟的发生，云端控制器不能进行快速切换。此外，由于云端控制器是在云端，而不是在公司WLAN的中心位置，云端控制器无法建立无线客户端的本地子网络和云端控制器之间的IP通道。同样地，若因特网的连接是关闭的，云端控制器将无法维持无线客户端的L3移动性。
鉴于以上所述，根据某些实施例，下面的方法用在使用云端控制器以支持在WLAN中L3的移动性：
1）预测客户端的漫游范围，以及
2）使用漫游锚AP。
根据某些实施例，客户端漫游范围的预测是用于有关开放快速切换功能上，其通过在无线客户端漫游期间减少无线客户端在每个AP的重新认证/重新结合过程的往返次数。往返次数可借由高速暂存来减少，另外也可借由储存在初始的AP（在无线客户端开始漫游前）认证过程的一部分所产生的主会谈金钥（master session key，MSK）来减少。云端控制器可以复制MSK到所述无线客户端漫游到的新AP中。因此，当无线客户端漫游到新的AP时，新的AP只需要重新产生通信金钥（traffic key，TK），以完成重新认证/重新结合过程，而非以后端的AAA服务器执行完整的重认证过程。为了使MSK被复制到合适的AP中，云端控制器需要提前知道无线客户端将漫游到哪些AP。根据某些实施例，每个无线客户端的MSK可以被复制到在公司网络的所有AP中。这样的方法在AP数量少时是有用的，使AP不至于被大量的金钥淹没。根据另一实施例，无线客户端的MSK只被复制到所述无线客户端可能漫游到的一组AP中，并建置一超龄时定时器以从这些AP删除所述MSK ，以避免AP被金钥堵塞。为了解释，根据某些实施例，无线客户端可以漫游到的相邻AP的范围（“漫游范围”）被确定性地识别。
图5显示根据某些实施例的无线客户端漫游范围预测方面的高阶参考图。图5显示AP的'A'、'B'、'C'、'D'、'E'、'F'、'G'、'H' 。本实施例可以包括任何数量的AP，但在此为便于描述只显示8个 AP。当无线客户端首先与AP的'C'相关联，预测的无线客户端漫游范围包括由绿色虚线502所示的相邻的'A'、'B'、'D'、'E'。当无线客户端移动到'E'，则预测的无线客户端漫游范围包括由红色虚线503所示的相邻的'C'、'D'、'F'、'H'。类似地，当无线客户端移动到'F'，则预测的无线客户端漫游范围包括由蓝色虚线504所示的相邻的'D'、'E'、'H'、'G'，等等。因此，MSK可以被复制到无线客户端漫游范围中的一组有限的AP中，而不是被复制到在持有者的管辖地或公司网络中的所有AP。然而，如果云端控制器是不可达的，例如，当所述公司的WAN或因特网是关闭的，那在无线客户端的预测漫游范围中就没有将MSK复制到AP的云端控制器。根据某些实施例，图9是显示AP间通讯方面的高阶网络图。图9显示一企业WLAN 900、AP 901a-m、漫游范围902、AP间通讯903和无线客户端905。根据某些实施例，当云端控制器不可达以将MSK复制到在无线客户端905预测漫游范围902 内的AP，则AP 901a-m可通过返航传输的有线网络接口执行AP间通讯903来交换MSK和在无线客户端905漫游范围内的AP之间所需的其它信息。AP是顺应802.11标准，定期广播无线客户端905可以检测的信标框。根据某些实施例，AP具有WLAN的SSID和AP的IP地址如嵌入在AP信标框的802.11供货商特定的信息元素（information element，IE）。携带此类802.11厂商特定的IE和被广播的信标框将只被漫游范围内的AP所接收。漫游范围外的AP将不会收到这样的广播信标框。因此，在漫游范围内的AP可以检测彼此，并互相通讯及交换MSK信息，而不需与云端控制器连接。同样地，AP间通讯可以应用在提供相对于本文所描述的“漫游锚AP”的功能。
根据某些实施例，漫游锚AP是在无线客户端在同一子网络内的AP间漫游或漫游到不同的子网络时，用于使无线客户端保持相同的IP地址。漫游锚AP是在无线客户端最初从子网络获取其IP地址的AP。漫游锚AP成为漫游的无线客户端的锚点。云端控制器可以张贴漫游锚AP的IP地址信息到所述漫游锚AP的相邻AP中。例如，当无线客户端漫游到相邻的AP，则相邻的AP（例如‘X’）可形成一个漫游锚AP的IP通道，使得无线客户端可保留其原来的IP地址。当无线客户端漫游到另一个AP（例如‘Y’），则一个新的IP通道在 ‘Y’和漫游锚AP之间形成，而不是在‘X’ 。形成IP通道的这种方法避免以过多的IP通道增殖在AP上超载。此外，由于漫游锚AP的信息是被存储在每个AP中，L3移动性功能仍然可行，即使当一个给定的AP已经失去对到云端控制器的连接。在云端控制器在起始时为不可用的情况下，当无线客户端获得其原始IP地址以决定漫游的无线客户端的锚AP时，使用上述AP间通讯的广播信标框可以被应用以提供锚AP信息给在“漫游范围”的AP。图6为根据某些实施例的子网络地址信息601和漫游锚AP地址602的样本数据格式表。
图7显示根据某些实施例的云端第3层网络的移动性控制方面的高阶网络图。图7显示了一个云端控制器701、存取点(AP)702A-1、漫游锚AP 703、无线客户端706和子网络707、708和709。为了控制L3的移动性，云端控制器701复制MSK进入无线客户端706的漫游范围中的“相邻AP”。例如，为了保持无线客户端706的IP地址，当无线客户端706从子网络707漫游到子网络708再到子网络709，IP信道在漫游锚AP和一个给定的AP 702之间形成。如本文所述的用于控制L3移动性的方法可用在使用云端控制器的大型企业办公网络，以提供连续的无线VoIP通讯及行动装置的网络安全策略。
根据某些实施例，在无线客户端的设备的漫游范围的“相邻AP”送出与客户端设备相关联的无线电讯号强度指针（RSSI）信息到云端控制器中。此外，存取点在一个给定的漫游范围内通过WiFi或有线网络接口交换彼此间的信息。所交换的信息包括WLAN SSID（服务集标识?）信息以及在存取点的漫游范围内的每个相应存取点的IP地址信息。
无线存取点控制及供应（ “ CAPWAP ” ）是一个可交互运作的协议，它能使一个控制器来管理无线存取点的集合。CAPWAP协议包括使用用于控制通道的UDP端口口5246和用于数据信道的端口口5247。CAPWAP的标准使配置管理和装置管理被推入AP。CAPWAP协议包括几个阶段： 1 ）发现， 2 ）加入， 3 ）配置， 4 ）韧体更新，以及5 ）管理。现有的CAPWAP发现协议在因特网上并不能正常工作，因为UDP广播仅限于公司网络，并且不会被转发到因特网上。此外，在企业网络内的防火墙也可能阻止UDP单播到因特网。CAPWAP发现协议只可在专用的和预先配置的硬件控制器上工作。如本文所述，CAPWAP发现协议并不能够发现建构于多租户云结构的虚拟控制器。
根据某些实施例，使用标准超文件传送协议加密（Hypertext Transfer Protocol Secure，HTTPS）协议的云端控制器CAPWAP发现协议是用来取代本文中所描述用于多租户云架构的传统CAPWAP。云端控制器CAPWAP发现协议可以解决与企业网络相关的潜在的防火墙问题。云端控制器CAPWAP发现协议首先发现相应的虚拟控制器，并协商适当的传输协议。例如，所述传输协议可以是原始的UDP协议或超文件传送协议(Hypertext Transfer Protocol，HTTP)）取决于企业网络防火墙状态。UDP是云端控制器较佳的传送方式，因为HTTP对话可能会导致对云端资源的缩放问题。云端控制器CAPWAP发现协议将最佳化云端控制器的资源使用情况。云端控制器CAPWAP发现协议第一步建立在扩展CAPWAP协议到外部的因特网，而不是将其限制于公司内的私有LAN或VPN网络。因此，与云端控制器一起使用的云端CAPWAP发现协议提供了一个因特网解决方案，而不是仅限在使用公司内部网络或在广域网络如多协议卷标交换虚拟专用网络（ multiprotocol label switching virtual private network， MPLS VPN ）使用VPN 。
根据发现阶段的结果，云端CAPWAP发现协议可以协商用于AP的HTTP协议的使用，以在所述公司的防火墙将UDP协议阻止于因特网时，加入并与云端控制器通讯。根据某些实施例，为了保持与传统CAPWAP UDP协议的兼容性，云端CAPWAP UDP协议都是通过一个HTTP通道传送。AP和云端控制器皆可选择以HTTP协议封装和解封装CAPWAP UDP封包。 HTTP协议是一个TCP的传输协议，其与UDP传输是完全不同的。每个UDP封包都有一个以收据承兑的封包边界指示。整个信息的原始发送长度是通过读取操作在接收器一侧的UDP信息来获知。与此相反， TCP协议数据是以字节串流读取，并无传送可分辨讯号信息边界的指示。此外，因为TCP协议数据是以字节串流读取，接收器在UDP原始信息封包中发生读取中断的机会是非常高的。根据某些实施例，包括在HTTP协议中的UDP封包的边界指示的一种专用的轻量级协议是被使用的。此外，这样的轻量级协议也以确保在接收器一侧的UDP信息的读取不在原始UDP封包中发生中断的方式来维持。这样的协议完成了CAPWAP协议从企业LAN环境迁移到因特网环境（云端环境），同时仍保持与原标准的CAPWAP UDP协议的兼容性，以确保与传统企业AP和/或传统企业控制器的可交互运作性。
根据某些实施例，当AP检测到在AP和相应的云端控制器之间存在防火墙时，AP具有智能从在一个数据报传输层安全（Datagram Transport Layer Security，DTLS）协议上的CAPWAPAP切换到在HTTP协议上的CAPWAP。换句话说，在发现阶段被完成后，作为预设，一个给定的AP将使用DTLS协议上的CAPWAP来连接并与云端控制器通讯，以在AP和云端控制器之间无防火墙时，确保在UDP数据传输的通讯。然而，如果在AP和云端控制器之间有防火墙，则AP具有足够智能以检测出防火墙，并将连接及使用HTTP或HTTPS协议与云端控制器进行通讯。
为了捕获封包的痕迹，例如来自一个高速网络链接上的所有HTTP URL/标头，并在硬盘上储存这些痕迹以进行进一步之后处理是需要高成本的硬件平台或最佳化的操作系统网络堆栈，以减少内存复制的次数。然而，一般的操作系统并非随着最佳化网络堆栈或低成本的平台一起发展，如零售WiFi AP或甚至一个企业级的光AP。因此，收集高速封包的痕迹同时不在AP的性能上折衷是一个挑战。
在一般的操作系统中，储存捕获的网络封包到硬盘上的路径包括以下内容：1）网络处理器执行深度封包检测以过滤捕获的封包，2）网络处理器捕获封包并将所述封包复制到一个直接内存存取（direct memory access，DMA），并导致CPU唤醒操作系统及安排一个用户空间的软件应用程序来读取和写入一磁盘档案，以及3）操作系统中的档案系统运作是昂贵的，特别是为了将数据写入磁盘档案中使用了大量的CPU时间。例如，在Linux EXT3档案系统中，根据数据操作的类型，CPU使用率可从27％ - 99％。此外，当使用高速网络连接到磁盘档案来捕获并储存封包时，CPU占用率显著，并会影响AP的效能。
根据某些实施例，将来自AP网络处理器的封包储存到AP的硬盘上的一个快速路径是被使用的。根据某些实施例，在AP网络处理器捕获封包并将数据储存在DMA中之后，比起唤醒AP的OS以重新安排一个用户空间的软件应用程序来读取和写入一AP磁盘档案，所述AP的OS被配置以呼叫一个AP核心空间的驱动程序直接从DMA传输数据到AP的硬盘上，从而完全绕过AP的OS档案系统。核心空间的驱动程序的CPU使用率是相对较小的。然而，必须折衷的是，在磁盘上的数据不能以一般OS档案系统能够处理的格式储存。因此，根据某些实施例，并非通过AP的OS档案系统从磁盘档案中读取数据，而是使用一个核心驱动程序API直接从供用户空间读取/写入应用程序的储存所述封包的磁盘读取。这样的程序再一次绕过AP的OS档案系统的操作。这种方法消除了每个捕获的封包往返档案系统I / O过程的痕迹。所述方法几乎是一个只使用很少CPU时间的对网络处理器到硬盘的直接硬件复制。
图8显示根据某些实施例在一AP的快速网络数据储存路径设计方面的高阶网络示意图。图8显示一个AP WiFi驱动器801、一个AP网络驱动器802、一个AP磁盘驱动器803、一个AP OS档案系统805、一个读/写应用程序806和一个AP OS核心808。用于数据储存的快速路径以红色表示（虚线箭头），借此，网络驱动器802绕过OS档案系统805，并且使用所述读/写应用程序806将数据写入所述AP硬盘。
上述实施例仅仅是为清楚地说明本发明创造所作的举例，而并非对本发明创造具体实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则的内所引伸出的任何显而易见的变化或变动仍处于本权利要求的保护范围的中。

资源描述

《多租户虚拟存取点网络资源虚拟化的方法.pdf》由会员分享，可在线阅读，更多相关《多租户虚拟存取点网络资源虚拟化的方法.pdf（20页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104144205A43申请公布日20141112CN104144205A21申请号201410199035222申请日2014051261/821,85220130510USH04L29/08200601H04L12/46200601H04L12/1420060171申请人瑞雷2股份有限公司地址美国加利福尼亚州72发明人陈镇翔卢威史瑞普瓦布瑞米席74专利代理机构北京汇智英财专利代理事务所普通合伙11301代理人牟长林54发明名称多租户虚拟存取点网络资源虚拟化的方法57摘要本发明涉及一种多租户虚拟存取点网络资源虚拟化的方法，包括用于存取点的虚拟化的方法及一种无线网络系统。一管。

2、辖地持有者或管理者可在一物理管辖地位置配置多个无线存取点硬件单元。根据本发明的某些实施例，对应各所述无线存取点硬件单元的多组虚拟无线存取点可被释放给多个WLAN网络操作员。30优先权数据51INTCL权利要求书1页说明书11页附图7页19中华人民共和国国家知识产权局12发明专利申请权利要求书1页说明书11页附图7页10申请公布号CN104144205ACN104144205A1/1页21一种多租户虚拟存取点网络资源虚拟化的方法，其特征在于，包括在一物理位置配置多个无线存取点硬件单元；将多个虚拟无线存取点与在所述物理位置的各所述无线存取点硬件单元的一对应的无线存取点硬件单元结合；向一第一WLAN。

3、网络操作员租赁各所述虚拟无线存取点的一第一子集；以及向一第二WLAN网络操作员租赁各所述虚拟无线存取点的一第二子集。2根据权利要求1所述的方法，其特征在于，进一步包括使用一云端控制器管理各所述虚拟无线存取点。3根据权利要求1所述的方法，其特征在于，进一步包括允许所述第一WLAN网络操作员管理其不受与所述物理位置有关的任何其它WLAN网络操作员的IP地址分配。4根据权利要求1所述的方法，其特征在于，进一步包括允许所述第二WLAN网络操作员管理其不受与所述物理位置有关的任何其它WLAN网络操作员的IP地址分配。5根据权利要求1所述的方法，其特征在于，进一步包括允许所述物理位置的持有者通过租赁各所述。

4、虚拟无线存取点的至少一子集的虚拟无线存取点赚取收入。6根据权利要求1所述的方法，其特征在于，进一步包括允许所述物理位置的持有者将横跨多个无线存点硬件单元的虚拟无线存取点集合起来。7一种无线网络，其特征在于，包括多个无线存取点硬件单元在一管辖地配置，其中各所述无线存取点硬件单元的一无线存取点硬件单元提供多个虚拟无线存取点；其中，各所述无线存取点硬件单元由所述管辖地的一操作员所有；各所述虚拟无线存取点的一第一子集的虚拟无线存取点由一第一WLAN提供者所有；各所述虚拟无线存取点的一第二子集的虚拟无线存取点由一第二WLAN提供者所有。8根据权利要求7所述的无线网络，其特征在于，进一步包括至少一个用以管。

5、理各所述虚拟无线存取点的云端控制器。9根据权利要求7所述的方法，其特征在于，各所述虚拟无线存取点可横跨多个无线存取点硬件单元被集合起来。10根据权利要求7所述的方法，其特征在于，各所述虚拟无线存取点的所述第一子集的虚拟无线存取点，与可不受相关于所述第二子集的虚拟无线存取点的一第二子集的IP地址分配的一第一组IP地址相关。11根据权利要求7所述的方法，其特征在于，各所述虚拟无线存取点的每个群组与一服务设定识别符相关。12根据权利要求7所述的方法，其特征在于，各所述虚拟无线存取点的每个群组与一独特群组名。权利要求书CN104144205A1/11页3多租户虚拟存取点网络资源虚拟化的方法技术领域00。

6、01本发明属在电子通讯领域，更具体地说，有关于无线保真WIFI网络架构及服务。背景技术0002在电子通讯方面，随着于需求方面的渐增与技术的逐渐纯熟，与无线保真WIFI相关的网络架构及服务的重要性也逐渐增加。惟目前的无限保真技术在使用上仍有其限制，因此存在有改善的需求。发明内容0003针对现有技术中存在的不足，本发明的目的在于提供一种多租户虚拟存取点网络资源虚拟化的技术及一种无线网络，以改善目前在服务方面的无限保真技术。0004本发明一种多租户虚拟存取点网络资源虚拟化的技术的技术方案如下一种多租户虚拟存取点网络资源虚拟化的方法，包括在一物理位置配置多个无线存取点硬件单元；将多个虚拟无线存取点与在。

7、所述物理位置的各所述无线存取点硬件单元的一对应的无线存取点硬件单元结合；向一第一WLAN网络操作员租赁各所述虚拟无线存取点的一第一子集；以及向一第二WLAN网络操作员租赁各所述虚拟无线存取点的一第二子集。0005上述的方法，进一步包括使用一云端控制器管理各所述虚拟无线存取点。0006上述的方法，进一步包括允许所述第一WLAN网络操作员管理其不受与所述物理位置有关的任何其它WLAN网络操作员的IP地址分配。0007上述的方法，进一步包括允许所述第二WLAN网络操作员管理其不受与所述物理位置有关的任何其它WLAN网络操作员的IP地址分配。0008上述的方法，进一步包括允许所述物理位置的持有者通过租。

8、赁各所述虚拟无线存取点的至少一子集的虚拟无线存取点赚取收入。0009上述的方法，进一步包括允许所述物理位置的持有者将横跨多个无线存点硬件单元的虚拟无线存取点集合起来。0010本发明还公开了一种无线网络，其技术方案为一种无线网络，包括多个无线存取点硬件单元在一管辖地配置，其中各所述无线存取点硬件单元的一无线存取点硬件单元提供多个虚拟无线存取点；其中，各所述无线存取点硬件单元由所述管辖地的一操作员所有；各所述虚拟无线存取点的一第一子集的虚拟无线存取点由一第一WLAN提供者所有；说明书CN104144205A2/11页4各所述虚拟无线存取点的一第二子集的虚拟无线存取点由一第二WLAN提供者所有。00。

9、11上述的无线网络，进一步包括至少一个用以管理各所述虚拟无线存取点的云端控制器。0012上述的无线网络，各所述虚拟无线存取点可横跨多个无线存取点硬件单元被集合起来。0013上述的无线网络，各所述虚拟无线存取点的所述第一子集的虚拟无线存取点，与可不受相关于所述第二子集的虚拟无线存取点的一第二子集的IP地址分配的一第一组IP地址相关。0014上述的无线网络，各所述虚拟无线存取点的每个群组与一服务设定识别符相关。0015上述的无线网络，各所述虚拟无线存取点的每个群组与一独特群组名。0016本发明的有益效果为提供一种多租户虚拟存取点网络资源虚拟化的技术及一种无线网络，以改善目前在服务方面的无限保真技术。

10、，降低无限保真技术在使用上的限制，且其对应各所述无线存取点硬件单元的多组虚拟无线存取点可被释放给多个WLAN网络操作员，以供赚取收入。附图说明0017图1显示根据某些实施例的虚拟企业存取点网络架构方面的高阶网络图。0018图2显示根据某些实施例的与存取点相关的发现和注册协议方面的高阶参考图。0019图3显示根据某些实施例的云端点对点VPN动态连结方面的高阶网络图。0020图4显示根据某些实施例的无线移动领域管理方面的高阶参考图。0021图5显示根据某些实施例的漫游范围预测方面的高阶参考图。0022图6为一根据某些实施例的子网络地址信息和漫游锚存取点地址的样本数据格式表。0023图7显示根据某些。

11、实施例的云端第3层网络的移动性控制方面的高阶网络图。0024图8显示根据某些实施例在一存取点的快速网络数据储存路径设计方面的高阶网络示意图。0025图9显示根据某些实施例的存取点间通讯方面的高阶网络图。0026其中102中继2云端控制器104A、104B载体2因特网104C载体3因特网105A载体1WIFI105B载体2WIFI105C载体3WIFI107数据路径108AC控制路径110AD存取点AP201存取点202SCM说明书CN104144205A3/11页5203数据库204控制器丛集205NMS206DNS服务器207步骤208CAPWAPDTLS对话建立授权凭证209CAPWAP加。

12、入请求210报告负载/容量/健康状况304AE云端控制器305AB安全通道306ADVPN服务器引擎307VPN流量308AB无线装置402SF总部移动领域403圣荷西分部移动领域404米尔皮塔斯分部移动领域405库比蒂诺分部移动领域601子网络地址602锚AP地址701中继2云端控制器703锚AP706、905无线客户端801WIFI驱动器802网络驱动器803硬盘驱动器805档案系统806应用程序808OS核心903存取点间通讯。具体实施方式0027本发明的某些实施例由专利参考文献所构成，其中的示例阐述于附图中。当本发明连同上述的实施例被描述说明时，应了解到，本发明并不仅限于这些特定的实施。

13、例。而是涵盖了在本发明的精神与范畴内的选择、变化及同等的实施方式。相应地，本说明书及图式都视为解说例证而非限制观念。0028并且，在以下说明中，诸多详细阐述均列举以提供对本发明的全面性的理解。然而，显而易见的是，本领域的技术人员在没有这些详细阐述下也可实施本发明。对于其它本领域的技术人员所知悉的示例、方法、步骤、组件及网络，在此并不加以论述，以避免模糊本发明的技术思想。说明书CN104144205A4/11页60029根据某些实施例，一虚拟企业存取点VEAP控制及管理系统使用以提供企业阶虚拟存取点AP和高性能企业AP硬件。根据某些特定实施例，企业阶虚拟AP的配置消除对一大量AP配置的需要，继而。

14、减少信号干涉。此外，所述VEAP系统以集中及协调的方式管理各所述AP。VEAP在此也作为虚拟存取点VAP。0030根据某些实施例，所述VEAP系统包括一双重共有持有者模型1所述企业AP硬件的持有者，及2使用所述企业AP硬件在此指“虚拟AP”的所述网络服务持有者。0031例如，所述企业AP硬件的持有者，较佳地为房地产在此指“网络管辖地持有者”的地主或持有者，其中所述物理无线网络基本架构包括所述企业AP硬件被配置。在所述物理无线网络基本架构上运行的WLAN的持有者，较佳地所述服务提供者SP或从所述网络管辖地持有者释放虚拟AP的载体。0032根据某些实施例，所述网络管辖地持有者管理及控制所述企业AP。

15、硬件资源的使用。例如，所述企业AP硬件可提供8到16个虚拟AP。一虚拟AP的花费只有一物理企业AP的花费的一部分。此外，通过所述管辖地持有者的集中管理，可减少对AP的管理和侦错，其中所述管辖地持有者提供所述物理AP网络的服务。所述SP可使用所述虚拟AP制造及操作所述WLAN。所以，所述SP无需配置所述企业AP硬件和相关基本架构即可管理所述WLAN。0033图1显示根据某些实施例的虚拟企业存取点网络架构方面的高阶网络图。图1显示根据某些实施例，所述VEAP网络架构包括一云端控制器102、一或多个载体因特网104AC、一或多个载体WIFI105AC，以及多个AP110AD。云端控制器102通过控制。

16、路径108AC控制所述载体WIFI105AC。云端控制器102通过数据路径107AD与各所述AP110AD沟通。所述VEAP架构影响现有的WIFI芯片组供货商通过外部网络如载体网络云端有效垂直管理的虚拟APVAP技术。根据某些实施例，所述VAP的管理技术提供网络接口至所述外部网络。此外，所述VEAP架构提供用于多载体的多租赁支持，以分享所述AP架构的管理。所述网络管辖地持有者所述房地产及所述AP硬件和架构精通管理所述管辖地。因此，根据某些实施例，所述网络管辖地持有者或管理者可提供高质量无线网络架构服务给所述载体/SP及企业阶虚拟AP，并可以分配所述企业阶AP硬件及相关架构的一部分的花费远程集中。

17、化WLAN的管理。0034因此，上述的VEAP架构有益于所有类型的WIFI网络服务。行动客户接收企业阶无线网络服务。所述管辖地持有者借由释放所述AP架构给多载体/SP接收可回复性收益。各所述载体/SP可无需购买或分配昂贵的企业阶AP硬件。因此，所述载体/SP可使用节省下来的费用以提供额外的增值服务给所述行动客户并增加服务收益。0035根据某些实施例，所述存取点AP的虚拟化对允许所述存取点硬件资源从所述网络资源分别管理产生益处。如非限定的示例，存取点硬件资源包括无线空间资源、内存及以太网络接口。如非限定的示例，网络资源包括存取点网络桥接、IP网络及网络服务器。根据某些实施例，所述管辖地持有者或管。

18、理者可管理及控制所述存取点硬件和与所述存取点硬件相关的资源。所述WLAN操作员可管理及控制所述网络资源及所述虚拟存取点。0036此外，根据某些实施例，所述AP资源可被虚拟化。如非限定的示例，一WLAN操作员可释放与所述存取点有关的内存资源的使用给一或多个商业实体例如一或多个信息网商业公司。在一些情况下，所述管辖地持有者/管理者也为一载体网络。根据某些实施例，在此种情况中，所述一或多个信息网商业公司可从所述管辖地持有者/管理者租用AP说明书CN104144205A5/11页7内存资源。如非限定的示例，所述一或多个信息网商业公司可释放内存资源，用于广告及推广活动、应用程序存储、视讯存储、内文存储、。

19、客户流量分析、因特网存取控制、应用程序分配及内文分配。基于如广告及推广活动、应用程序存储、视讯存储、内文存储、客户流量分析、因特网存取控制、应用程序分配及内文分配等的相同目的，所述WLAN操作员也可使用其AP内存资源，而这些资源是他们尚未释放给信息网商业公司或其它公司的。0037根据某些实施例，所述云控制器一多租赁云端控制器。所述多租赁云端控制器包括运行独立的租赁控制器或虚拟控制器的多丛集服务器。根据某些实施例，一云端网站控制器管理者SCM用来帮助一给定的AP在各所述丛集服务器之间辨识所述AP的相对应虚拟控制器。例如，当一给定的AP对外发送一“无线存取点的控制及供应”CAPWAP探索请求，所述。

20、SCM截取此CAPWAP请求。所述CAPWAP请求包括所述AP的媒体存取控制地址MAC地址及用于与所述AP相关的特定租户账户的凭证。因此，所述SCM可查找所述AP的MAC地址并将与所述特定的AP有关的特定的租户控制器的地址回传给所述AP。所述AP继而可使用正确的租户控制器地址而非使用一试错法发送请求给每个租户控制器，直接初始一CAPWAP协议对话。0038图2显示根据某些实施例的与存取点相关的探索和注册协议方面的高阶参考图。图2显示AP201、SCM202、数据库203、服务器丛集或控制器丛集204、网络管理系统205，及DNS服务器206。SCM202和AP201沟通以分配一合适的租户控制器。

21、212给AP201，以在AP201和相对应的租户控制器之间建立一在服务器丛集/控制器丛集204中的数据传输层安全协议DTLS对话208。所述AP201可从DNS服务器探索一列表的SCM。当所述DTLS对话208被建立，所述AP可发送一“加入”请求209给所述AP的在所述服务器丛集/控制器丛集204中的相对应租户控制器。当所述加入动作成功时，所述租户控制器报告所述AP的成功加入动作213。此外，所述租户控制器和其它的服务器丛集可报告信息210给所述数据库203。此信息可包括所述控制器的负载、容量及健康。0039根据某些实施例的另一方面，所述SCM也作为一在所述多数据中心位置之间的协调者，服务在如。

22、本文所述的所述VEAP网络架构下的AP分配。在所述VEAP网络架构下，所述数据中心位置对所述管辖地持有者来说是透明的。根据某些实施例，每个数据中心在所述VEAP网络架构下可由任何AP存取。所述资料中心提供服务给任何管辖地持有者作为一主站或备份站。任何在一管辖地持有者的前提上所配置的给定的AP，可自动决定其相对应的资料中心，且无需借由所述管辖地持有者的命令配置即与其连接。所以，所述数据中心需要被所述AP自动地找到。所述SCM可为一在所述资料中心与在像是AP的一资料中心之间的协调者，使得在一管辖地持有者的前提上所配置的AP可加入所适合的数据中心及在所述数据中心的所相对应的租户控制器。0040所述S。

23、CM在每个资料中心中的第一接触点。根据某些实施例，所述SCM具有下列特征1在每个数据中心配置一个SCM且所述SCM为第一接触点。所述SCM具有用以将所述AP的探索请求重导至合适的数据中心及在所述数据中心内的正确的租户控制器的必要知识，以建立在所述AP和其相对应的租户控制器之间的一对话；2所述SCM可正确地重导并合计将所述AP连接至正确的数据中心位置，而非横跨不同的数据中心位置从相同的区域位置散布AP；3借由给定的AP使用标准的DNS协议发现一列表的SCM。一AP可使用所述DNS信息DNS纪录与任何的SCM联络。因此，一AP可以一循环方式与所述列表的SCM说明书CN104144205A6/11页。

24、8联络，以发现用于注册的合适的数据中心位置。一旦所述注册为成功，所述AP可缓存所述SCM的地址以接着开启或启动注册请求。0041根据某些实施例，云端点对点VPN网络使用来避免与用于一公司的子办公室的传统硬件VPN网关解决方案有关的问题。所述云端点对点VPN网络免除了与在所述公司的每个办公室站的个别的VPN网关有关的部属与维持所需的高额费用。0042根据某些实施例，所述云端点对点VPN网络包括1一执行VPN网关的软件软VPN网关，以及2一云端VPN控制器。配置在公司的子办公室站的所述AP可组配以作为一软VPN网关运行，其可对实时流量策略执行从所述云端VPN控制器下推的策略。所述云端VPN控制器提。

25、供中央VPN策略管理及VPN信道网络。因此，所述云端点对点VPN网络一软件解决方案，其使得IT员工无需在每个站安装或存取硬件VPN网关，即可轻易地修改/更新动态地在各种站点之间的VPN流量惯例路径。采用一用于无线网络的云端解决方案的公司也易于采用一用以连接公司的子办公室、零售店、销售点站的云端VPN解决方案。所以，所述VPN市场上看数百亿美元。0043图3显示根据某些实施例的云端点对点VPN动态连结方面的高阶网络图。图3显示所述云端VPN网络包括云端企业WLAN控制器304AE、VPN服务引擎306AD、AP302AB以及安全通道305AB。其中，AP302AB作为软VPN网关运行。例如，在公。

26、司站301，AP302A作为一软VPN网关运行；在公司站301，AP302A作为一软VPN网关运行。云端企业WLAN控制器304C、304E分别提供中央VPN策略管理给AP302A、302B。VPN服务引擎306AD动态提供用于公司站301、303之间VPN流量307的安全通道305AB。无线装置308A、308B经由其各自AP302A、302B及云端企业WLAN控制器304C、304E及相对应的安全通道305B沟通。0044就传统的以硬件实施的企业WLAN控制器而言，每个硬件控制器物理地连接至一组AP。因此，所述组AP可成组被组配及管理。然而，对于本文所描述的用于WLAN的云端控制器的状况而。

27、言，AP非物理地连接至所述控制器。所以，像这样的AP组，不会以传统的观念聚集成组。在一给定的管辖地持有者站点，对大量的AP以成组组配施用是困难的，且各所述AP与云端WLAN控制器有关。根据某些实施例，无线移动领域产生以促进与云端WLAN控制器有关的AP的成组组配。根据某些实施例，一无线移动领域定义在相同域下管理的AP群组。在一给定的无线移动领域中的AP彼此相当接近地位于地面，且接近于AP所服务的无线客户。在一给定的无线移动领域中的AP分享相同的WLAN组配及策略。例如，一无线移动领域可在一特定位置用来定义AP的范围，像是每个远处于公司总部的公司子办公室。上述的例子中，用于每个公司子办公室的所述。

28、无线移动领域可具有不同的WLAN管理组配。因此，公司的IP员工通过所述无线移动领域的使用，可轻易且弹性地在每个子办公室应用不同的WLAN网络设定和策略。0045图4显示根据某些实施例的通过无线移动领域的使用的AP管理方面的高阶参考图。图4显示一无线移动领域网络401，其包括一总部无线移动领域402及相对应的子无线移动领域403、404和405。所述无线移动领域402、403、404及405可具有不同的WLAN设定和策略。0046在另一实施例，假定一大学校园在其每个所大楼有配置AP。所述大学具有使用一无线移动领域来管理在大学校园中所有AP的选择，或对其每个所的财产追踪使用个别的无线移动领域，或特。

29、定对在相同位置内的每个所或每个楼层的不同的管理目的。说明书CN104144205A7/11页90047L3移动性或漫游企业WLAN的一特色，其对无线客户端提供无缝地无线连接，所述无线客户端跨越不同的公司子网漫游。例如，若所述公司具有足够的WLANRF覆盖，当所述无线客户端在所述公司的覆盖场附近漫游，则L3移动性可致使诸如VOIP及视讯流等实时应用程序，在无线客户端如智能型手机、平板或笔记型计算机上运行不中断。0048为了达成L3的移动性，WLAN的产品需要执行以下操作1）将无线客户端的连接从一个AP快速切换到另一个上，以及2）保持无线客户端在不同子网络上相同的IP地址为避免无线客户端上实时运行。

30、中的应用程序中断或断线，快速切换是必要的。为执行无线客户端的连接从一个AP到另一个的快速切换，在无线客户端漫游到的新AP重新认证所需时间为小于40毫秒，或在某些情况下为小于20毫秒，取决于所述应用程序。在新AP的重新认证也被称为与新AP的“重新结合”。如果在新AP重新认证所需时间大于20毫秒，则可发生实时应用程序如VOIP的干扰或断线。认证所需时间在一个使用基于8021X埠口存取控制的AAA服务器的一个良好的LAN环境中为大约40毫秒80毫秒。0049此外，当无线客户端漫游到与具有不同网络地址的子网络中相关联的一个新的AP时，无线客户端将获得子网络的IP地址。当无线客户端的IP地址改变为新获得。

31、的IP地址时，在所述无线客户端上运行的应用程序（例如，网络电话或视讯串流）将中断。这种中断是不适合商业通讯的，并且对于维护网络安全策略也不适当。0050为了提供适当的第3层（L3）的移动性，在无线客户端漫游于AP间时，传统的企业WLAN使用一个位于中心的硬件控制器作为唯一的身份验证，以避免在漫游期间需要在每个AP进行完整的重新认证。中央硬件控制器可以轻松地在中央控制器和无线客户端的本地子网络之间设置IP信道，其中无线客户端的IP地址为原先分配的，以使无线客户端可以继续使用原来的IP地址。然而，传统的硬件控制器解决方案并不适用在使用云端控制器作为公司/企业网络的WLAN，因为没有对公司网络的中央。

32、安装的控制器。作为在云端（因特网）中，由于不可预知且可能持久的网络延迟的发生，云端控制器不能进行快速切换。此外，由于云端控制器是在云端，而不是在公司WLAN的中心位置，云端控制器无法建立无线客户端的本地子网络和云端控制器之间的IP通道。同样地，若因特网的连接是关闭的，云端控制器将无法维持无线客户端的L3移动性。0051鉴于以上所述，根据某些实施例，下面的方法用在使用云端控制器以支持在WLAN中L3的移动性1）预测客户端的漫游范围，以及2）使用漫游锚AP。0052根据某些实施例，客户端漫游范围的预测是用于有关开放快速切换功能上，其通过在无线客户端漫游期间减少无线客户端在每个AP的重新认证/重新结。

33、合过程的往返次数。往返次数可借由高速暂存来减少，另外也可借由储存在初始的AP（在无线客户端开始漫游前）认证过程的一部分所产生的主会谈金钥（MASTERSESSIONKEY，MSK）来减少。云端控制器可以复制MSK到所述无线客户端漫游到的新AP中。因此，当无线客户端漫游到新的AP时，新的AP只需要重新产生通信金钥（TRAFCKEY，TK），以完成重新认证/重新结合过程，而非以后端的AAA服务器执行完整的重认证过程。为了使MSK被复制到合适的AP中，云端控制器需要提前知道无线客户端将漫游到哪些AP。根据某些实施例，每个无线客户端说明书CN104144205A8/11页10的MSK可以被复制到在公司。

34、网络的所有AP中。这样的方法在AP数量少时是有用的，使AP不至于被大量的金钥淹没。根据另一实施例，无线客户端的MSK只被复制到所述无线客户端可能漫游到的一组AP中，并建置一超龄时定时器以从这些AP删除所述MSK，以避免AP被金钥堵塞。为了解释，根据某些实施例，无线客户端可以漫游到的相邻AP的范围（“漫游范围”）被确定性地识别。0053图5显示根据某些实施例的无线客户端漫游范围预测方面的高阶参考图。图5显示AP的A、B、C、D、E、F、G、H。本实施例可以包括任何数量的AP，但在此为便于描述只显示8个AP。当无线客户端首先与AP的C相关联，预测的无线客户端漫游范围包括由绿色虚线502所示的相邻的。

35、A、B、D、E。当无线客户端移动到E，则预测的无线客户端漫游范围包括由红色虚线503所示的相邻的C、D、F、H。类似地，当无线客户端移动到F，则预测的无线客户端漫游范围包括由蓝色虚线504所示的相邻的D、E、H、G，等等。因此，MSK可以被复制到无线客户端漫游范围中的一组有限的AP中，而不是被复制到在持有者的管辖地或公司网络中的所有AP。然而，如果云端控制器是不可达的，例如，当所述公司的WAN或因特网是关闭的，那在无线客户端的预测漫游范围中就没有将MSK复制到AP的云端控制器。根据某些实施例，图9是显示AP间通讯方面的高阶网络图。图9显示一企业WLAN900、AP901AM、漫游范围902、A。

36、P间通讯903和无线客户端905。根据某些实施例，当云端控制器不可达以将MSK复制到在无线客户端905预测漫游范围902内的AP，则AP901AM可通过返航传输的有线网络接口执行AP间通讯903来交换MSK和在无线客户端905漫游范围内的AP之间所需的其它信息。AP是顺应80211标准，定期广播无线客户端905可以检测的信标框。根据某些实施例，AP具有WLAN的SSID和AP的IP地址如嵌入在AP信标框的80211供货商特定的信息元素（INFORMATIONELEMENT，IE）。携带此类80211厂商特定的IE和被广播的信标框将只被漫游范围内的AP所接收。漫游范围外的AP将不会收到这样的广播。

37、信标框。因此，在漫游范围内的AP可以检测彼此，并互相通讯及交换MSK信息，而不需与云端控制器连接。同样地，AP间通讯可以应用在提供相对于本文所描述的“漫游锚AP”的功能。0054根据某些实施例，漫游锚AP是在无线客户端在同一子网络内的AP间漫游或漫游到不同的子网络时，用于使无线客户端保持相同的IP地址。漫游锚AP是在无线客户端最初从子网络获取其IP地址的AP。漫游锚AP成为漫游的无线客户端的锚点。云端控制器可以张贴漫游锚AP的IP地址信息到所述漫游锚AP的相邻AP中。例如，当无线客户端漫游到相邻的AP，则相邻的AP（例如X）可形成一个漫游锚AP的IP通道，使得无线客户端可保留其原来的IP地址。。

38、当无线客户端漫游到另一个AP（例如Y），则一个新的IP通道在Y和漫游锚AP之间形成，而不是在X。形成IP通道的这种方法避免以过多的IP通道增殖在AP上超载。此外，由于漫游锚AP的信息是被存储在每个AP中，L3移动性功能仍然可行，即使当一个给定的AP已经失去对到云端控制器的连接。在云端控制器在起始时为不可用的情况下，当无线客户端获得其原始IP地址以决定漫游的无线客户端的锚AP时，使用上述AP间通讯的广播信标框可以被应用以提供锚AP信息给在“漫游范围”的AP。图6为根据某些实施例的子网络地址信息601和漫游锚AP地址602的样本数据格式表。0055图7显示根据某些实施例的云端第3层网络的移动性控制。

39、方面的高阶网络图。图7显示了一个云端控制器701、存取点AP702A1、漫游锚AP703、无线客户端706和子网说明书CN104144205A109/11页11络707、708和709。为了控制L3的移动性，云端控制器701复制MSK进入无线客户端706的漫游范围中的“相邻AP”。例如，为了保持无线客户端706的IP地址，当无线客户端706从子网络707漫游到子网络708再到子网络709，IP信道在漫游锚AP和一个给定的AP702之间形成。如本文所述的用于控制L3移动性的方法可用在使用云端控制器的大型企业办公网络，以提供连续的无线VOIP通讯及行动装置的网络安全策略。0056根据某些实施例，在。

40、无线客户端的设备的漫游范围的“相邻AP”送出与客户端设备相关联的无线电讯号强度指针（RSSI）信息到云端控制器中。此外，存取点在一个给定的漫游范围内通过WIFI或有线网络接口交换彼此间的信息。所交换的信息包括WLANSSID（服务集标识）信息以及在存取点的漫游范围内的每个相应存取点的IP地址信息。0057无线存取点控制及供应（“CAPWAP”）是一个可交互运作的协议，它能使一个控制器来管理无线存取点的集合。CAPWAP协议包括使用用于控制通道的UDP端口口5246和用于数据信道的端口口5247。CAPWAP的标准使配置管理和装置管理被推入AP。CAPWAP协议包括几个阶段1）发现，2）加入，3。

41、）配置，4）韧体更新，以及5）管理。现有的CAPWAP发现协议在因特网上并不能正常工作，因为UDP广播仅限于公司网络，并且不会被转发到因特网上。此外，在企业网络内的防火墙也可能阻止UDP单播到因特网。CAPWAP发现协议只可在专用的和预先配置的硬件控制器上工作。如本文所述，CAPWAP发现协议并不能够发现建构于多租户云结构的虚拟控制器。0058根据某些实施例，使用标准超文件传送协议加密（HYPERTEXTTRANSFERPROTOCOLSECURE，HTTPS）协议的云端控制器CAPWAP发现协议是用来取代本文中所描述用于多租户云架构的传统CAPWAP。云端控制器CAPWAP发现协议可以解决与。

42、企业网络相关的潜在的防火墙问题。云端控制器CAPWAP发现协议首先发现相应的虚拟控制器，并协商适当的传输协议。例如，所述传输协议可以是原始的UDP协议或超文件传送协议HYPERTEXTTRANSFERPROTOCOL，HTTP）取决于企业网络防火墙状态。UDP是云端控制器较佳的传送方式，因为HTTP对话可能会导致对云端资源的缩放问题。云端控制器CAPWAP发现协议将最佳化云端控制器的资源使用情况。云端控制器CAPWAP发现协议第一步建立在扩展CAPWAP协议到外部的因特网，而不是将其限制于公司内的私有LAN或VPN网络。因此，与云端控制器一起使用的云端CAPWAP发现协议提供了一个因特网解决方。

43、案，而不是仅限在使用公司内部网络或在广域网络如多协议卷标交换虚拟专用网络（MULTIPROTOCOLLABELSWITCHINGVIRTUALPRIVATENETWORK，MPLSVPN）使用VPN。0059根据发现阶段的结果，云端CAPWAP发现协议可以协商用于AP的HTTP协议的使用，以在所述公司的防火墙将UDP协议阻止于因特网时，加入并与云端控制器通讯。根据某些实施例，为了保持与传统CAPWAPUDP协议的兼容性，云端CAPWAPUDP协议都是通过一个HTTP通道传送。AP和云端控制器皆可选择以HTTP协议封装和解封装CAPWAPUDP封包。HTTP协议是一个TCP的传输协议，其与UDP。

44、传输是完全不同的。每个UDP封包都有一个以收据承兑的封包边界指示。整个信息的原始发送长度是通过读取操作在接收器一侧的UDP信息来获知。与此相反，TCP协议数据是以字节串流读取，并无传送可分辨讯号信息边界的指示。此外，因为TCP协议数据是以字节串流读取，接收器在UDP原始信息封包中发生读取中断的机会是非常高的。根据某些实施例，包括在HTTP协议中的UDP封包的边界指示的一种专用的轻量级协议是被使用的。此外，这样的轻量级协议也以确保在接收器一侧的UDP说明书CN104144205A1110/11页12信息的读取不在原始UDP封包中发生中断的方式来维持。这样的协议完成了CAPWAP协议从企业LAN环。

45、境迁移到因特网环境（云端环境），同时仍保持与原标准的CAPWAPUDP协议的兼容性，以确保与传统企业AP和/或传统企业控制器的可交互运作性。0060根据某些实施例，当AP检测到在AP和相应的云端控制器之间存在防火墙时，AP具有智能从在一个数据报传输层安全（DATAGRAMTRANSPORTLAYERSECURITY，DTLS）协议上的CAPWAPAP切换到在HTTP协议上的CAPWAP。换句话说，在发现阶段被完成后，作为预设，一个给定的AP将使用DTLS协议上的CAPWAP来连接并与云端控制器通讯，以在AP和云端控制器之间无防火墙时，确保在UDP数据传输的通讯。然而，如果在AP和云端控制器之间。

46、有防火墙，则AP具有足够智能以检测出防火墙，并将连接及使用HTTP或HTTPS协议与云端控制器进行通讯。0061为了捕获封包的痕迹，例如来自一个高速网络链接上的所有HTTPURL/标头，并在硬盘上储存这些痕迹以进行进一步之后处理是需要高成本的硬件平台或最佳化的操作系统网络堆栈，以减少内存复制的次数。然而，一般的操作系统并非随着最佳化网络堆栈或低成本的平台一起发展，如零售WIFIAP或甚至一个企业级的光AP。因此，收集高速封包的痕迹同时不在AP的性能上折衷是一个挑战。0062在一般的操作系统中，储存捕获的网络封包到硬盘上的路径包括以下内容1）网络处理器执行深度封包检测以过滤捕获的封包，2）网络处。

47、理器捕获封包并将所述封包复制到一个直接内存存取（DIRECTMEMORYACCESS，DMA），并导致CPU唤醒操作系统及安排一个用户空间的软件应用程序来读取和写入一磁盘档案，以及3）操作系统中的档案系统运作是昂贵的，特别是为了将数据写入磁盘档案中使用了大量的CPU时间。例如，在LINUXEXT3档案系统中，根据数据操作的类型，CPU使用率可从2799。此外，当使用高速网络连接到磁盘档案来捕获并储存封包时，CPU占用率显著，并会影响AP的效能。0063根据某些实施例，将来自AP网络处理器的封包储存到AP的硬盘上的一个快速路径是被使用的。根据某些实施例，在AP网络处理器捕获封包并将数据储存在DM。

48、A中之后，比起唤醒AP的OS以重新安排一个用户空间的软件应用程序来读取和写入一AP磁盘档案，所述AP的OS被配置以呼叫一个AP核心空间的驱动程序直接从DMA传输数据到AP的硬盘上，从而完全绕过AP的OS档案系统。核心空间的驱动程序的CPU使用率是相对较小的。然而，必须折衷的是，在磁盘上的数据不能以一般OS档案系统能够处理的格式储存。因此，根据某些实施例，并非通过AP的OS档案系统从磁盘档案中读取数据，而是使用一个核心驱动程序API直接从供用户空间读取/写入应用程序的储存所述封包的磁盘读取。这样的程序再一次绕过AP的OS档案系统的操作。这种方法消除了每个捕获的封包往返档案系统I/O过程的痕迹。所。

49、述方法几乎是一个只使用很少CPU时间的对网络处理器到硬盘的直接硬件复制。0064图8显示根据某些实施例在一AP的快速网络数据储存路径设计方面的高阶网络示意图。图8显示一个APWIFI驱动器801、一个AP网络驱动器802、一个AP磁盘驱动器803、一个APOS档案系统805、一个读/写应用程序806和一个APOS核心808。用于数据储存的快速路径以红色表示（虚线箭头），借此，网络驱动器802绕过OS档案系统805，并且使用所述读/写应用程序806将数据写入所述AP硬盘。0065上述实施例仅仅是为清楚地说明本发明创造所作的举例，而并非对本发明创造具说明书CN104144205A1211/11页13体实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则的内所引伸出的任何显而易见的变化或变动仍处于本权利要求的保护范围的中。说明书CN104144205A131/7页14图1说明书附图CN104144205A142/7页15图2说明书附图CN104144205A153/7页16图3图4说明书附图CN104144205A164/7页17图5图6说明书附图CN1041442。

展开阅读全文