CN1175626C - 无线接入设备 - Google Patents

Abstract

本发明提出了一种无线接入设备，包括无线网卡和网桥模块，还包括流量控制模块，与网桥模块连接，用于对局域网和广域网间交互的数据包进行流量控制；网络地址转换路由模块，与流量控制模块连接，用于对局域网和广域网间交互的数据包进行三层转发；鉴权模块，与网络地址转换路由模块连接，用于对局域网用户进行身份鉴权认证，并在鉴权通过后允许网络地址转换路由模块对该局域网用户发来的数据包进行三层转发；广域网控制模块，与网络地址转换路由模块连接，用于对局域网和广域网间交互的数据包进行收发控制。本发明降低了无线局域网的组网成本，有助于无线局域网的维护管理。

Description

无线接入设备

技术领域

本发明涉及无线局域网技术领域，尤其涉及应用在无线局域网系统中的无线接入设备。

背景技术

目前，采用IEEE802.11协议的无线局域网覆盖技术正在兴起，但是其在接入控制和运营计费方面仍然采取传统有线的接入控制器AC(AccessController)对用户的接入控制和运营计费等业务进行处理。如图1，通常，无线客户10通过无线访问点AP(Access Point)20接入到局域网中，然后在局域网和广域网之间使用接入控制器30控制无线客户10的访问权限、可用的上下行带宽、用户计费信息以及其它的应用。采用这种接入控制方式，必须在局域网到广域网的出口另外配置一台接入控制器30，然后在接入控制器30后面再配置路由器40或交换机，其中无线访问点20实现的功能包括无线网桥、数据包过滤、简单网络管理协议、TCP/IP协议栈等等；接入控制器30的实现的功能包括接入控制、带宽管理、用户认证、授权和计费等。

上述现有的局域网组网方式对于中小企业、热点地区(hotspot)或某些行业应用非常不方便，同时由于接入控制器30的价格都比较高，所以在经济上也会给运营者带来一些经济上的负担。

发明内容

本发明要解决的技术问题是提出一种无线接入设备，以降低无线局域网的组网成本，并有助于无线局域网的维护管理。

为解决上述问题，本发明提出了一种无线接入设备，用于无线局域网系统对用户进行接入控制，包括：

无线网卡，用于使无线局域网用户接入无线局域网系统；

网桥模块，与所述无线网卡连接，用于对无线局域网用户间交互的数据包进行二层转发；

流量控制模块，与所述网桥模块连接，用于对局域网和广域网间交互的数据包进行流量控制；

网络地址转换路由模块，与所述流量控制模块连接，用于对局域网和广域网间交互的数据包进行三层转发；

鉴权模块，与所述网络地址转换路由模块连接，用于对局域网用户进行身份鉴权认证，并在鉴权通过后允许网络地址转换路由模块对该局域网用户发来的数据包进行三层转发；

广域网控制模块，与所述网络地址转换路由模块连接，用于对局域网和广域网间交互的数据包进行收发控制。

所述无线接入设备还包括与所述网桥模块连接的局域网控制模块，用于对局域网间交互的数据包或局域网与广域网间交互的数据包进行收发控制。

其中所述网桥模块基于生成树协议对无线局域网用户间的数据包进行转发。

其中所述鉴权模块为IEEE802.1X鉴权模块；或为远程拨号用户访问服务客户端鉴权模块；或为网络门户鉴权模块。

其中所述流量控制模块进一步包括：

流量阀值存储器，用于分别存储每个局域网用户的数据包流量阀值；

流量计算器，用于在每个时间段内分别对每个局域网用户和广域网之间交互的数据包流量进行计算，并在每个时间段初始时分别对上一时间段计算得到的数据包流量结果值进行清零操作；

比较器，分别与流量计算器和流量阀值存储器连接，用于对每个时间段内流量计算器计算的局域网用户的数据包流量结果值和流量阀值存储器存储的该用户的数据包流量阀值进行比较；

数据包处理单元，与所述比较器连接，用于根据比较器的比较结果，在计算得到局域网用户的数据包流量结果值小于等于该用户的数据包流量阀值时，将该用户的数据包加入排队序列；否则丢弃数据包。

采用本发明无线接入设备组建无线局域网后，所有的中小企业、热点地区以及某些需要使用无线局域网应用的行业在部署无线局域网的过程中，只需要部署该无线接入设备(AP，Access Point)，而无需另外在接入控制器上投资了。如果无线局域网覆盖对于布线有困难，还可以通过无线分布系统(WDS，wireless distribution system)进行完全无线方式的局域网覆盖。此外，采用了本发明无线接入设备的无线局域网，在系统管理和维护上，也只需要集中在无线接入设备上即可，而无需对分离的无线访问点AP和接入控制器AC分别进行管理维护，因此节省了系统的维护费用，同时也便于网络维护人员对网络进行维护管理。

附图说明

图1是基于现有技术的无线局域网拓扑图；

图2A是本发明无线接入设备的简单模块组成结构图；

图2B是本发明无线接入设备中流量控制模块的具体组成框图；

图3是本发明无线接入设备的二层转发机制通过生成树网桥STP Bridge对数据包进行桥接和转发的原理图；

图4是本发明无线接入设备通过网络地址转换路由器NAT Router51对发向广域网的数据进行路由的原理图；

图5是本发明无线接入设备通过网络地址转换路由器对接收广域网的数据进行路由的原理图；

图6是在本发明无线接入设备中加入用户身份鉴权认证模块的示意图；

图7是在本发明无线接入设备中加入流量控制模块的系统示意图；

图8是本发明无线接入设备在网络地址转换路由器的基础上加入流量控制的数据包转发原理图；

图9是采用本发明无线接入设备后采用有线方式连接无线访问点组成局域网的拓扑图；

图10是采用本发明无线接入设备后采用无线分布系统连接无线访问点组成局域网的拓扑图。

具体实施方式

下面结合附图对本发明的具体实施方案做进一步的阐明。

参照图2A，该图是本发明无线接入设备的简单模块组成结构图；其中本发明无线接入设备的主要组成是在现有技术无线访问点AP的功能模块组成基础上，进而加入现有技术访问控制器AC的功能模块，从而使本发明无线接入设备不但能够完成原AP对局域网用户之间交互的数据包进行二层的转发处理，还能够完成原AC对局域网和广域网之间交互的数据包进行三层的转发处理，同时能够实现对接入广域网的局域网用户进行身份鉴权认证和计费处理等。则为实现上述功能的无线接入设备具体包括：

无线网卡S1，用于使无线局域网用户接入无线局域网系统；其中无线网卡S1符合IEEE802.11a、IEEE802.11b或IEEE802.11g标准，具有11Mbps至54Mbps的高速访问能力。主要有Mini PCI接口形式、PCMCIA接口形式、CF接口形式和USB接口形式，为无线局域网用户提供了多种制式的无线接入无线局域网的手段；

网桥模块S2，与无线网卡S1连接，用于对无线局域网用户间交互的数据包进行二层转发；当然也能够对无线局域网用户和局域网用户之间交互的数据包或局域网用户之间交互的数据包进行二层转发处理；因为网桥模块S2工作在数据链路层(OSI的二层)，目的将两个局域网连起来，根据介质访问控制MAC地址来转发数据包，网桥模块S2一般首选生成树协议STP(SpanningTree Protocol)作为网桥遵循协议，对不同局域网之间的数据包进行桥接转发，从而实现不同局域网之间的用户通过该网桥模块S2进行数据信息的交换；

流量控制模块S3，与网桥模块S2连接，用于对局域网和广域网之间交互的数据包进行流量控制；其中这里的流量控制模块S3对局域网和广域网之间交互的数据包进行流量控制是在数据包排队转发之前进行的。

参照图2B，该图是本发明无线接入设备中流量控制模块的具体组成框图；其中无线接入设备中的流量控制模块S3的具体组成包括：

流量阀值存储器S32，用于分别预先存储每个局域网用户的数据包流量阀值Stream1；

流量计算器S31，用于分别在每个时间段内分别对每个局域网用户和广域网之间交互的数据包流量Stream进行计算，并分别在每个时间段初始时对上一时间段计算得到的数据包流量结果值Stream进行清零操作；

比较器S33，分别与流量计算器S31和流量阀值存储器S32连接，用于对每个时间段内流量计算器S31计算得到的局域网用户的数据包流量结果值Stream和流量阀值存储器S32存储的该用户的数据包流量阀值Stream1进行比较处理；

数据包处理单元S34，与比较器S33连接，用于根据比较器S33的比较结果，在计算得到局域网用户的数据包流量结果值Stream小于等于该局域网用户的数据包流量阀值Stream1时，将数据包加入排队序列，以等待后续网络地址转换路由模块S4的三层转发处理；而在计算得到该局域网用户的数据包流量结果值Stream大于该局域网用户的数据包流量阀值Stream1时，数据包处理单元S34将作丢弃数据包处理。

网络地址转换路由模块S4，与流量控制模块S3连接，用于对局域网和广域网之间交互的数据包进行三层转发处理；在网络地址转换路由模块(NATRouter，Network Address Translation Router)S4中一般对一个局域网中的服务器只分配给一个合法的IP地址，目的是节约IP地址的资源，而局域网内部的各个终端分别分配给不同的私有IP地址，所以对于局域网用户访问广域网资源时就面临着私有IP地址和合法IP地址之间的正反转换问题，所述网络地址转换路由模块S4目的就是实现局域网和广域网之间通信时，私有IP地址和合法IP地址的转换问题。网络地址转换路由模块S4工作在OSI的第三层网络层，在局域网用户接入广域网时，对局域网和广域网之间交互的数据包进行IP地址的转换和选路作用，从而完成局域网和广域网之间交互的数据包在网络层的转发；

鉴权模块S5，与网络地址转换路由模块S4连接，用于对局域网用户进行身份鉴权认证，并在鉴权通过后允许网络地址转换路由模块S4对该局域网用户发来的数据包进行三层(网络层)的转发处理；

其中鉴权模块S5由一些标准的广域网对访问其资源的局域网用户进行鉴权的鉴权模块组成，所述鉴权模块S5可以为IEEE802.1X鉴权模块；也可以为远程拨号用户访问服务客户端鉴权模块(Radius Client)；当然还可以为网络门户鉴权模块(Web Portal)。其中这些鉴权模块都是采用软件认证方式，实际上鉴权模块S5和网络地址转换路由模块S4只是一种逻辑连接关系，具体的工作过程是首先鉴权模块S5对试图接入广域网的局域网用户进行身份鉴权认证，如果鉴权通过则通知无线接入设备的CPU，CPU根据该接收指令信息，通知网络地址转换路由模块S4对该局域网用户发送的数据包进行三层转发处理。

继续参照图2A，本发明无线接入设备还包括：

广域网控制模块S6，与网络地址转换路由模块S4连接，用于对局域网和广域网之间交互的数据包进行收发控制。其中广域网控制模块S6是标准的以太网控制器，在这里的作用是使局域网扩展到广域网，使本局域网能够和广域网之间进行数据包的收发控制处理，它可以进一步通过标准的RJ45接口和广域网的其他路由设备进行连接；

局域网控制模块S7，与上述的网桥模块S2连接，用于对局域网之间交互的数据包或局域网与广域网之间交互的数据包进行收发控制。其中局域网控制模块S7也是标准的以太网控制器，也可以使本局域网能够和其他局域网进行数据包的传输和收发控制，它也可以进一步通过RJ45接口和其他局域网中的交换设备等进行有线方式的连接。

同时为实现本发明无线接入设备，首先在实现无线访问点AP功能的基础上，要采用性能更加强大的微处理器，扩充设备存储器和外围接口设备，例如一般无线访问点AP采用4M Flash闪存和8M同步动态随机存储器SDRAM，该发明无线接入设备可以扩充到8M F1ash闪存和128M同步动态随机存储器SDRAM；而一般无线访问点AP使用1块802.11无线网卡和一个以太网卡，该发明无线接入设备可以使用2块802.11无线网卡和4个以太网卡，以扩大无线信道容量以及支持有线虚拟局域网VLAN。这样，本发明无线接入设备不但保留了现有的无线访问点AP的功能，还完全具备了接入控制器AC需要的硬件条件。

在具备了上述硬件平台的基础上，实现该发明无线接入设备的关键在于软件功能的设计和集成。无线访问点已经具备的最基本的功能包括：

无线接入功能，其中包括对40bit WEP加密技术和128bit RC4加密技术的支持；

带有生成树协议STP(Spanning Tree Protocol)的透明网桥STP Bridge；

通过无线分布系统WDS实现访问点之间的无线互连，从而实现完全无线的网络系统。

利用无线访问点已有的功能和更加强大的处理器及更大的存储空间和外围接口，可以通过增加软件模块来扩展无线访问点的功能，并通过相应的方式使其能够在无线访问点AP上同时实现无线访问点AP和接入控制器AC的功能。

这样在无线访问点AP上需要增加的软件模块有网络地址转换NAT(Network Address Translation)模块和网络地址端口转换NAPT(NetworksAddress Port Translation)模块、用于身份认证的动态主机配置协议DHCP服务器模块和WEB服务器或IEEE802.1x认证模块，其他的模块还有基于RADIUS的用户接入控制模块、基于流量控制的带宽管理模块、网络时间协议NTP(Network Time Protocol)模块，用以支持网络时间同步。

通常情况下，无线访问点AP是一个二层的桥接设备，通过生成树网桥STP Bridge对数据包进行桥接和转发，而接入控制器AC可以理解为一个三层或三层以上的起路由或网关作用的设备，通过网络地址转换路由器NATRouter对局域网和广域网之间交互的数据包进行路由和转发，两者在对数据包转发的原理上采用了不同的包转发机制。因此，在无线访问点AP上实现接入控制器AC的功能时，需要同时实现二层和三层的包转发。二层网桥模块通过查询网桥学习表，确定二层的数据包向哪个端口转发；而三层网络地址转换路由模块通过查询路由表，决定第三层的IP数据包如何转发。

如图3所示，是本发明无线接入设备的二层转发机制通过生成树网桥STPBridge对数据包进行桥接和转发的原理图，由于数据流桥接和转发仍然是在局域网内部进行，因此基本上仍然是二层上的数据包转发，其中数据流1、2、3的转发与未采用本发明前的无线访问点转发机制相似，利用生成树网桥STPBridge 50对属于此同一无线访问点覆盖下的无线用户的数据包进行桥接和转发。如果有数据流4需要发送到广域网WAN或其他局域网，则要通过在同一无线访问点上实现三层上的路由转发功能。这一功能的实现靠在无线访问点内增加的网络地址转换路由器NAT Router 51来实现，它对局域网和广域网之间的数据转发有路由和网关的作用，

如图4是本发明无线接入设备通过网络地址转换路由器NAT Router 51对发向广域网的数据进行路由的原理图；无论是从有线局域网还是从无线局域网发往广域网的数据包都必须经过网络地址转换路由器NAT Router 51来进行路由和转发；同理在图5中由广域网发往无线局域网或有线局域网的数据包也必须通过网络地址转换路由器NAT Router 51路由后，然后进入二层的生成树网桥STP Bridge 50模块，由其对收到的数据包进行桥接和转发，再次发往对应的无线局域网用户或有线局域网用户终端。

在本发明无线接入设备中实现数据包双层转发原理的基础上，再次还要实现接入控制功能，而解决接入控制功能的两个关键问题在于：用户的身份认证和用户的流量控制，即宽带管理。

如图6是在本发明无线接入设备加入了动态主机配置协议DHCP Server模块52和WEB服务器53来实现用户的鉴权认证管理，通过采用DHCP+Web Portal的鉴权方式，提供用户上网帐号和密码，作为用户标识和认证凭据。这种认证方式只需要客户端有Web浏览器，不需要安装特殊的软件，使用起来比较方便，同时由于有网络地址转换协议NAT进行网络地址转换和数据包转发，因此只需要在访问点中实现动态主机配置协议DHCP服务器和Web服务器，即可方便的实现该种认证方法。

动态主机配置协议DHCP和Web Portal鉴权方式比较简单，但安全性不高；此时还可以在无线接入设备中加入IEEE802.1X鉴权软件模块54和Radius客户机程序55，实现802.1x鉴权认证方式，用户通过某种方式提供给用户证书或是智能卡(例如SIM卡)，通过验证用户提供的证书或智能卡上的信息来决定是否提供该用户所要求的服务，802.1x提供的动态密钥交换机制可以使无线客户的数据传输更安全。

接下来需要在无线接入设备上实现用户数据流量控制功能，用户流量控制，即在用户已经通过认证和授权后，根据需要对用户进行业务控制和数据流量采集、限制，同时提供记帐信息。用户流量控制既可以在数据包的二层生成树网桥转发机制上实现，也可以在三层路由转发机制中实现，基本原理就是控制网络接口的数据外发速率。由于在无线访问点中实现接入控制器功能需要控制的用户数据流量主要是接入广域网的数据流量，因此这里我们可以在三层网络地址转换NAT模块的基础上对用户数据流量进行控制。

用户数据流量控制是通过队列机制实现的。对于在无线访问点上实现接入控制器的功能而言，我们可以将无线局域网接口和有线局域网接口看作是下行端口，广域网WAN以太网接口看作是上行端口。

用户数据流量控制就是要控制用户通过设备接口发送出数据的速率，如果需要控制用户的上行数据速率，就需要控制用户发出并由设备转发向上行端口的数据发送速率，而如果需要控制用户的下行速率，则需要控制由设备转发向下行端口发往用户的数据发送速率。由于我们可以控制网络接口的发送速率，我们可以将流量控制功能插入到流程中的两个阶段：即在数据包排队前或数据包排队后进行控制。考虑到如果在数据包排队后再进行流量控制，需要队列有足够大的容量才不至于轻易造成队列的溢出，而且也需要有额外的处理时间，因此采用在数据包排队前就进行流量控制，以节约系统资源。

无论数据包是从上行端口发往下行端口还是从下行端口发往上行端口，数据包在进入网络地址转换路由器NAT Router 51进行排队前就要经过流量控制模块56进行数据流量控制，来控制数据的转发速度，如图7所示。

如图8所示，在步骤100中网络地址转换路由器NAT Router首先从上行或下行网络接口接收数据包，然后在步骤200中，网络地址转换路由器NATRouter会根据数据包的包头标志对接收到的数据包进行必要的过滤，保留需要转发的数据包，丢弃不合法的数据包；然后在步骤300中将数据包从上行链路或下行链路进行转发，在加入到待发的数据包排队前，首先在步骤400中为每个用户定义七个相关参数，其中包括：

客户端的MAC地址macAddr；

客户端的上行速率upRate；

客户端的下行速率downRate；

当前时段(1秒)内用户上行发送数据计数upCount；

当前时段(1秒)内用户下行发送数据计数downCount；

用户上行发送数据总计数upTotal；

用户下行发送数据总计数downTotal；

增加流量控制的方法是，数据包在排队前需要检查当前时段(1秒)内用户已发送的上/下行数据量是否大于用户上/下行速率所规定的数据量，如果不是，才转到步骤600中将该数据包加入到待发队列中，然后在步骤700中将数据包向上行端口或下行端口进行发送；否则转到步骤800将该数据包做丢弃处理。其中upCount/downCount的数值随着数据发送过程而不断的更新，设置每个时段周期即1秒开始清一次零，这样可以保证每次检查到的数据总为刷新的数据，使用户数据流量得到精确的控制。

如图9所示是采用本发明无线接入设备后采用有线方式连接无线访问点组成局域网的拓扑图。图中增加了接入控制器功能的无线访问点60(即本发明的无线接入设备)通过有线的方式和其他无线访问点20进行连接，对不同无线访问点覆盖下的无线客户10之间的信息传递采取有线传输，从而组成一个无线接入系统，多个无线客户10所在的局域网和外部广域网之间的数据通信只需要在无线局域网出口处布线智能化了的无线访问点60(即本发明的无线接入设备)即可，无需另外布线接入控制器AC了。然后智能化了的无线访问点60通过路由器40接入到广域网Internet中，实现局域网和广域网的结合。

如图10是采用本发明无线接入设备后采用无线分布系统WDS(wirelessdistribution system)技术连接不同无线访问点组成完全无线互连的局域网拓扑图，在无线客户10和广域网之间的数据通信也只需在无线局域网出口处布线智能化了的无线访问点60即可，该智能化了的无线访问点60具有以下三个作用：

对无线客户进行接入控制、认证计费；

作为无线访问点，对无线客户进行覆盖；

作为无线局域网的一个节点，通过无线分布系统WDS和其他无线访问点连接。

该局域网通过实现了接入控制器功能的无线访问点60和普通无线访问点20之间利用无线分布系统WDS技术，即可非常方便地组建一个无线接入系统。在该系统中，实现了接入控制器功能的无线访问点需要具备非常强大的数据处理能力，是整个无线局域网的控制中枢，整个网络系统不需要有线缆(可以扩充有线网络，但不是必需的)，因此对于系统组网、系统维护和管理、网络的扩展性都非常有利。此外该智能化了的无线访问点再次接入路由器40，由其接入广域网便可实现仅通过智能化了的无线访问点60就使无线局域网和广域网有机的结合。

Claims (5)

1、一种无线接入设备，用于无线局域网系统对用户进行接入控制，包括：

无线网卡，用于使无线局域网用户接入无线局域网系统；

网桥模块，与所述无线网卡连接，用于对无线局域网用户间交互的数据包进行二层转发；

其特征在于，还包括：

流量控制模块，与所述网桥模块连接，用于对局域网和广域网间交互的数据包进行流量控制；

网络地址转换路由模块，与所述流量控制模块连接，用于对局域网和广域网间交互的数据包进行三层转发；

鉴权模块，与所述网络地址转换路由模块连接，用于对局域网用户进行身份鉴权认证，并在鉴权通过后允许网络地址转换路由模块对该局域网用户发来的数据包进行三层转发；

广域网控制模块，与所述网络地址转换路由模块连接，用于对局域网和广域网间交互的数据包进行收发控制。

2、根据权利要求1所述的无线接入设备，其特征在于，还包括与所述网桥模块连接的局域网控制模块，用于对局域网间交互的数据包或局域网与广域网间交互的数据包进行收发控制。

3、根据权利要求2所述的无线接入设备，其特征在于，所述网桥模块基于生成树协议对无线局域网用户间的数据包进行转发。

4、根据权利要求1所述的无线接入设备，其特征在于，

所述鉴权模块为IEEE802.1X鉴权模块；或

为远程拨号用户访问服务客户端鉴权模块；或

为网络门户鉴权模块。

5、根据权利要求1所述的无线接入设备，其特征在于，所述流量控制模块进一步包括：

流量阀值存储器，用于分别存储每个局域网用户的数据包流量阀值；

流量计算器，用于在每个时间段内分别对每个局域网用户和广域网之间交互的数据包流量进行计算，并在每个时间段初始时分别对上一时间段计算得到的数据包流量结果值进行清零操作；

比较器，分别与流量计算器和流量阀值存储器连接，用于对每个时间段内流量计算器计算的局域网用户的数据包流量结果值和流量阀值存储器存储的该用户的数据包流量阀值进行比较；

数据包处理单元，与所述比较器连接，用于根据比较器的比较结果，在计算得到局域网用户的数据包流量结果值小于等于该用户的数据包流量阀值时，将该用户的数据包加入排队序列；否则丢弃数据包。

Images