无线局域网接入点设备虚拟局域网的实现方法 技术领域
本发明涉及通讯领域中无线局域网的组网方法,特别是涉及一种IEEE802.11无线局域网(WLAN)接入点设备虚拟局域网(VLAN)的实现方法。
背景技术
安全性一直是无线局域网组网时关注的一个焦点,目前,业内已经有了各种解决无线局域网安全的方案,其中IEEE 802.1Q标准的虚拟局域网技术在无线局域网上的应用,为保障无线局域网的安全提供了一种有效的手段。当前比较普遍使用的组网方法是:在无线局域网组网时将多个接入点设备(以下简称AP)连接到VLAN交换机,在交换机上划分多个VLAN域,每个VLAN域可能包括一个或多个AP,这样一来,就在分布系统(Distribution System)内形成了多个虚拟子网集合,将所有AP最终汇聚到接入控制器(以下简称AC)或具有相当功能的设备时,AC可以控制不同VLAN域间各接入点设备所对应的无线终端是否能够互访,否则不同VLAN域间的无线终端不能互相访问。当无线终端从一个VLAN域的AP切换到另一个VLAN域的AP时,由于不同VLAN域的AP间无法直接传递该无线终端的切换信息,并且一旦无线终端所属VLAN域被改变,则会造成其与原来VLAN域无线终端的连接中断。因此,上述现有技术地VLAN实现方法明显存在以下不足:
(1)在组网时,VLAN的划分必须通过交换机实现,即VLAN的实现依赖于AP外部的交换机;
(2)无线终端在不同VLAN域的AP间切换时,切换信息不能直接在AP间传递,且无线终端不能保持原来的VLAN域属性,会造成与原VLAN域无线终端连接中断。
通过专利检索,发现与本发明领域最为接近的中国知识产权局受理的申请号为02139275.7的《以太网接入网虚拟局域网接入技术》一案也与本发明有较大区别,即(1)该专利是以太网交换设备上的VLAN实现方法,而本专利是无线局域网AP设备上的VLAN实现方法;(2)在实现方法上,该专利对VLAN域的划分是以太网交换设备通过自动学习而得到的,而本发明的VLAN域的划分则是按照一定规则划分的。
因此本发明所述的无线局域网接入点设备虚拟局域网的实现方法是无线局域网领域的一项新的技术突破。
发明内容
本发明的目的正是针对上述背景技术中存在的缺陷,提供一种无线局域网中接入点设备虚拟局域网的实现方法,通过将加入到分布系统内的所有接入点设备划分到管理域,将对应于每个接入点设备的无线终端划分到用户域,及通过设定标签和标记对各接入点设备进行管理和控制。
为了达到上述目的,本发明还提供一种无线局域网接入点设备虚拟局域网的实现方法,该方法包括以下步骤:
将加入分布系统的接入点设备加入管理域,为其分配管理域唯一标识;
将接入的无线终端加入到一个用户域,为其分配用户域唯一标识;
将数据帧封装成带有VLAN标签的数据帧,并发送到分布系统;
检查从分布系统接收到的数据帧,
对不带VLAN标签的数据帧进行丢弃处理;
对带VLAN标签的数据帧作VID匹配性检查;
对不匹配的数据帧作丢弃处理,
对匹配的数据帧,去掉其所带的VLAN标签后,转发至相应的接入点设备或无线终端。
与现有技术相比,采用本发明所提供的无线局域网接入点设备虚拟局域网的实现方法,能够达到不同域的组网应用时,无线终端在AP间自由切换的效果,降低了组网应用时对外部VLAN交换机的依赖,节省了组网成本,提高了组网的灵活性;同时,所有AP被划分在一个特定的管理域,只有属于这个域的管理员才能对AP进行管理控制,进一步增强了网络的安全性。
下面将结合实施例并参照附图对本发明的技术方案进行详细说明。
附图说明
图1为本发明所述的无线局域网接入点设备虚拟局域网的实现方法的流程图。
图2为本发明所述的无线局域网接入点设备虚拟局域网的实现方法的组网应用实例一。
图3为本发明所述的无线局域网接入点设备虚拟局域网的实现方法的组网应用实例二。
具体实施方式
本发明所述在无线局域网AP上VLAN技术的实现方案如下:
如图1所示,为本发明所述的无线局域网接入点设备虚拟局域网的实现方法的流程图,其包括以下步骤:首先,将加入到分布系统内的所有AP被划分到管理域,接入到每个AP的无线终端被划分到一个用户域,为加入分布系统的AP各分配一个唯一的VLAN标识符VID(VLAN Identifier,以下简称VID),同时每个无线终端也对应于一个唯一的用户域VID,步骤101;AP将由该无线终端或其本身发送到分布系统的数据帧封装成带有VLAN标签的(VLAN-Tagged)数据帧后,发送到分布系统,步骤102;检查从分布系统接收的数据帧,步骤103;判断该数据帧是否带VLAN标签,步骤104;如否,则对该数据帧作丢弃处理,步骤105;再对带有VLAN标签的数据帧进行VID匹配性检查,步骤106;对VID不匹配的数据帧进行丢弃处理,步骤105;对VID匹配的数据帧去掉其带有的VLAN标签,步骤107;然后转发该数据帧至相应的AP或无线终端,步骤108。
其中,步骤106中对带有VLAN标签的数据帧进行VID匹配性检查,是对接收到的数据帧所带的VID与管理域中AP的VID、或与用户域中的无线终端的VID是否匹配进行检查;
本发明中,当无线终端在各接入点设备间发生切换时,当前接入的AP负责获得并维持该无线终端的原用户域属性,并向分布系统广播通知切换信息,而与该无线终端相对应的原接入的AP,则释放该用户域属性。
下面,分别以两种不同的组网应用实例,来说明本发明所提出的无线局域网接入点设备虚拟局域网的实现方法:
在无线局域网组网时,将分布系统划分为两类VLAN域,一个是由所有接入点设备202、管理员设备204(或接入控制器301)组成的VLAN域,在该域内管理员204(或接入控制器301)可以访问及控制所有接入点设备202,各接入点设备之间也可以自由访问,该VLAN域被称为管理域;另一个是由每个AP所接入的无线终端203所组成的多个VLAN域,即分布系统内形成的多个无线终端的虚拟子网集合,相同VLAN域的无线终端之间可以自由访问,不同VLAN域的无线终端之间不能互访,这些域被称为用户域。
如图2所示,为本发明所述的无线局域网接入点设备虚拟局域网的实现方法的组网应用实例一,它是无线局域网组网时,网络中没有接入控制器AC或者相当功能的其他设备时的VLAN组网应用,管理员设备204、接入点设备202分别与交换机201连接,并组成管理域,每个AP所接入的无线终端203所组成的多个VLAN域为多个用户域。
如图3所示,为本发明所述的无线局域网接入点设备虚拟局域网的实现方法的组网应用实例二,它是无线局域网组网时,所有接入点设备AP汇聚到接入控制器AC或相当设备时的VLAN组网应用,与实例一不同的是,实例二的组网应用中组成管理域包括各接入点设备203和接入控制器301或者相当的其它设备,AP的连接与实例一相同,但接入控制器AC则一端与交换机201相连,另一端与INTERNET相连。
本发明中,在AP上实现虚拟局域网的方法包括按照以下操作步骤
第一步,当AP加入分布系统时,将其加入管理域,即使AP获得管理域标识VID;
第二步,某一无线终端接入时,AP将该无线终端加入到一个用户域,即使该无线终端获得该用户域的VID;
第三步,AP将由该无线终端或其本身发送到分布系统的数据帧,封装成带有VLAN标签(VLAN-Tagged)的数据帧,并发送到分布系统;
第四步,AP检查从分布系统接收的数据帧,对不带VLAN-Tagged的数据帧进行丢弃处理;对带VLAN-Tagged的数据帧进一步作VID匹配检查,即检查该数据帧的VID是否匹配,对不匹配的数据帧作丢弃处理,对匹配的数据帧,则去掉其VLAN标签后,再转发该数据帧至相应的接入点设备或无线终端;
第五步,当无线终端在不同AP间进行了切换时,当前接入的AP负责获得并维持该无线终端的原用户域属性,同时,在管理域内向分布系统发送无线终端切换的消息,原接入的AP收到该切换消息后,释放该无线终端的相关资源。
由于与AP之间的无线终端用户域属性消息的交互目前还没有标准支持,因此这里使用的是私有交互消息,即需要通过该私有交互消息,将无线终端的用户域VID等信息传递给对方。
AP上组建VLAN的具体应用按照两种组网应用实例,具体描述如下:
(1)在应用实例一中,网络内没有AC或相当功能设备,适用于企业级应用。管理员将进入分布系统的AP加入管理域,并在AP上配置无线终端的VID,当某一无线终端接入AP时,AP根据该无线终端的VID将其加入到一个用户域,形成了管理域和用户域1~3,如图2所示,该组网方式下,只有相同用户域的无线终端之间可以相互通信;若某一无线终端在AP间发生切换,则当前接入无线终端的AP用于获得并维持该无线终端的原用户域属性,并在管理域内向分布系统通知无线终端的切换消息。
(2)在应用实例二中,网络内所有AP最终汇聚到AC或相当功能的设备,适用于运营级应用。AC或相当功能的设备将进入分布系统的AP加入管理域,当某一无线终端接入AP后,由AC配置该无线终端的VID,AP根据该无线终端的VID配置将其加入到一个用户域,形成了管理域和多个用户域如1~3,如图3所示,AC用于控制不同VLAN域的无线终端之间是否可以相互通信,当某一个无线终端在AP间切换时,当前接入的AP负责获得并维持该无线终端的原用户域属性,并在管理域内向分布系统通知无线终端的切换消息。