多租户虚拟存取点-网络资源虚拟化的方法

多租户虚拟存取点-网络资源虚拟化的方法
【专利摘要】本发明涉及一种多租户虚拟存取点-网络资源虚拟化的方法，包括用于存取点的虚拟化的方法及一种无线网络系统。一管辖地持有者或管理者可在一物理管辖地位置配置多个无线存取点硬件单元。根据本发明的某些实施例，对应各所述无线存取点硬件单元的多组虚拟无线存取点可被释放给多个WLAN网络操作员。
【专利说明】多租户虚拟存取点-网络资源虚拟化的方法

【技术领域】
[0001] 本发明属在电子通讯领域，更具体地说，有关于无线保真（WiFi)网络架构及服 务。

【背景技术】
[0002] 在电子通讯方面，随着于需求方面的渐增与技术的逐渐纯熟，与无线保真（WiFi) 相关的网络架构及服务的重要性也逐渐增加。惟目前的无限保真技术在使用上仍有其限 制，因此存在有改善的需求。


【发明内容】

[0003] 针对现有技术中存在的不足，本发明的目的在于提供一种多租户虚拟存取点-网 络资源虚拟化的技术及一种无线网络，以改善目前在服务方面的无限保真技术。
[0004] 本发明一种多租户虚拟存取点-网络资源虚拟化的技术的技术方案如下： 一种多租户虚拟存取点-网络资源虚拟化的方法，包括： 在一物理位置配置多个无线存取点硬件单元； 将多个虚拟无线存取点与在所述物理位置的各所述无线存取点硬件单元的一对应的 无线存取点硬件单元结合； 向一第一 WLAN网络操作员租赁各所述虚拟无线存取点的一第一子集；以及 向一第二WLAN网络操作员租赁各所述虚拟无线存取点的一第二子集。
[0005] 上述的方法，进一步包括使用一云端控制器管理各所述虚拟无线存取点。
[0006] 上述的方法，进一步包括允许所述第一 WLAN网络操作员管理其不受与所述物理 位置有关的任何其它WLAN网络操作员的IP地址分配。
[0007] 上述的方法，进一步包括允许所述第二WLAN网络操作员管理其不受与所述物理 位置有关的任何其它WLAN网络操作员的IP地址分配。
[0008] 上述的方法，进一步包括允许所述物理位置的持有者通过租赁各所述虚拟无线存 取点的至少一子集的虚拟无线存取点赚取收入。
[0009] 上述的方法，进一步包括允许所述物理位置的持有者将横跨多个无线存点硬件单 元的虚拟无线存取点集合起来。
[0010] 本发明还公开了一种无线网络，其技术方案为： 一种无线网络，包括： 多个无线存取点硬件单元在一管辖地配置， 其中各所述无线存取点硬件单元的一无线存取点硬件单元提供多个虚拟无线存取 占. 其中， 各所述无线存取点硬件单元由所述管辖地的一操作员所有； 各所述虚拟无线存取点的一第一子集的虚拟无线存取点由一第一 WLAN提供者所有； 各所述虚拟无线存取点的一第二子集的虚拟无线存取点由一第二WLAN提供者所有。 [0011] 上述的无线网络，进一步包括至少一个用以管理各所述虚拟无线存取点的云端控 制器。
[0012] 上述的无线网络，各所述虚拟无线存取点可横跨多个无线存取点硬件单元被集合 起来。
[0013] 上述的无线网络，各所述虚拟无线存取点的所述第一子集的虚拟无线存取点，与 可不受相关于所述第二子集的虚拟无线存取点的一第二子集的IP地址分配的一第一组IP 地址相关。
[0014] 上述的无线网络，各所述虚拟无线存取点的每个群组与一服务设定识别符相关。
[0015] 上述的无线网络，各所述虚拟无线存取点的每个群组与一独特群组名。
[0016] 本发明的有益效果为：提供一种多租户虚拟存取点-网络资源虚拟化的技术及一 种无线网络，以改善目前在服务方面的无限保真技术，降低无限保真技术在使用上的限制， 且其对应各所述无线存取点硬件单元的多组虚拟无线存取点可被释放给多个WLAN网络操 作员，以供赚取收入。

【专利附图】

【附图说明】
[0017] 图1显示根据某些实施例的虚拟企业存取点网络架构方面的高阶网络图。
[0018] 图2显示根据某些实施例的与存取点相关的发现和注册协议方面的高阶参考图。
[0019] 图3显示根据某些实施例的云端点对点VPN动态连结方面的高阶网络图。
[0020] 图4显示根据某些实施例的无线移动领域管理方面的高阶参考图。
[0021] 图5显示根据某些实施例的漫游范围预测方面的高阶参考图。
[0022] 图6为一根据某些实施例的子网络地址信息和漫游锚存取点地址的样本数据格 式表。
[0023] 图7显示根据某些实施例的云端第3层网络的移动性控制方面的高阶网络图。
[0024] 图8显示根据某些实施例在一存取点的快速网络数据储存路径设计方面的高阶 网络不意图。
[0025] 图9显示根据某些实施例的存取点间通讯方面的高阶网络图。
[0026] 其中： 102中继2云端控制器 104a、104b载体-2因特网 104c载体-3因特网 105a 载体-1 WiFi 105b 载体-2 WiFi 105c 载体-3 WiFi 107数据路径 108a-c控制路径 110a-d 存取点（AP) 201存取点 202 SCM 203数据库 204控制器丛集 205 NMS 206 DNS服务器 207步骤 208 CAPWAP :DTLS对话建立授权凭证 209 CAPWAP :加入请求 210报告负载/容量/健康状况 304a_e云端控制器 305a_b安全通道 306a-d VPN服务器引擎 307 VPN流量 308a_b无线装置 402 S.F.总部移动领域 403圣荷西分部移动领域 404米尔皮塔斯分部移动领域 405库比蒂诺分部移动领域 601子网络地址 602锚AP地址 701中继2云端控制器 703 锚 AP 706、905无线客户端 801 WiFi驱动器 802网络驱动器 803硬盘驱动器 805档案系统 806应用程序 808 OS核心 903存取点间通讯。

【具体实施方式】
[0027] 本发明的某些实施例由专利参考文献所构成，其中的示例阐述于附图中。当本发 明连同上述的实施例被描述说明时，应了解到，本发明并不仅限于这些特定的实施例。而是 涵盖了在本发明的精神与范畴内的选择、变化及同等的实施方式。相应地，本说明书及图式 都视为解说例证而非限制观念。
[0028] 并且，在以下说明中，诸多详细阐述均列举以提供对本发明的全面性的理解。然 而，显而易见的是，本领域的技术人员在没有这些详细阐述下也可实施本发明。对于其它本 领域的技术人员所知悉的示例、方法、步骤、组件及网络，在此并不加以论述，以避免模糊本 发明的技术思想。
[0029] 根据某些实施例，一虚拟企业存取点（VEAP)控制及管理系统使用以提供企业阶 虚拟存取点（AP)和高性能企业AP硬件。根据某些特定实施例，企业阶虚拟AP的配置消除 对一大量AP配置的需要，继而减少信号干涉。此外，所述VEAP系统以集中及协调的方式管 理各所述AP。VEAP在此也作为虚拟存取点（VAP)。
[0030] 根据某些实施例，所述VEAP系统包括一双重共有持有者模型：1)所述企业AP硬 件的持有者，及2)使用所述企业AP硬件（在此指"虚拟AP"）的所述网络服务持有者。
[0031] 例如，所述企业AP硬件的持有者，较佳地为房地产（在此指"网络管辖地持有者"） 的地主或持有者，其中所述物理无线网络基本架构（包括所述企业AP硬件）被配置。在所 述物理无线网络基本架构上运行的WLAN的持有者，较佳地所述服务提供者（SP)或从所述 网络管辖地持有者释放虚拟AP的载体。
[0032] 根据某些实施例，所述网络管辖地持有者管理及控制所述企业AP硬件资源的使 用。例如，所述企业AP硬件可提供8到16个虚拟AP。一虚拟AP的花费只有一物理企业AP 的花费的一部分。此外，通过所述管辖地持有者的集中管理，可减少对AP的管理和侦错，其 中所述管辖地持有者提供所述物理AP网络的服务。所述SP可使用所述虚拟AP制造及操作 所述WLAN。所以，所述SP无需配置所述企业AP硬件和相关基本架构即可管理所述WLAN。
[0033] 图1显示根据某些实施例的虚拟企业存取点网络架构方面的高阶网络图。图1 显示根据某些实施例，所述VEAP网络架构包括一云端控制器102、一或多个载体因特网 104a-c、一或多个载体WiFi 105a-c，以及多个AP 110a-d。云端控制器102通过控制路 径108a-c控制所述载体WiFi 105a-c。云端控制器102通过数据路径107a-d与各所述 AP110a-d沟通。所述VEAP架构影响现有的WiFi芯片组供货商通过外部网络（如：载体网 络）云端有效垂直管理的虚拟AP(VAP)技术。根据某些实施例，所述VAP的管理技术提供 网络接口至所述外部网络。此外，所述VEAP架构提供用于多载体的多租赁支持，以分享所 述AP架构的管理。所述网络管辖地持有者（所述房地产及所述AP硬件和架构）精通管理 所述管辖地。因此，根据某些实施例，所述网络管辖地持有者或管理者可提供高质量无线网 络架构服务给所述载体/SP及企业阶虚拟AP，并可以分配所述企业阶AP硬件及相关架构的 一部分的花费远程集中化WLAN的管理。
[0034] 因此，上述的VEAP架构有益于所有类型的WiFi网络服务。行动客户接收企业阶 无线网络服务。所述管辖地持有者借由释放所述AP架构给多载体/SP接收可回复性收益。 各所述载体/SP可无需购买或分配昂贵的企业阶AP硬件。因此，所述载体/SP可使用节省 下来的费用以提供额外的增值服务给所述行动客户并增加服务收益。
[0035] 根据某些实施例，所述存取点（AP)的虚拟化对允许所述存取点硬件资源从所述 网络资源分别管理产生益处。如非限定的示例，存取点硬件资源包括无线空间资源、内存及 以太网络接口。如非限定的示例，网络资源包括存取点网络桥接、IP网络及网络服务器。根 据某些实施例，所述管辖地持有者或管理者可管理及控制所述存取点硬件和与所述存取点 硬件相关的资源。所述WLAN操作员可管理及控制所述网络资源及所述虚拟存取点。
[0036] 此外，根据某些实施例，所述AP资源可被虚拟化。如非限定的示例，一 WLAN操作 员可释放与所述存取点有关的内存资源的使用给一或多个商业实体（例如：一或多个信息 网商业公司）。在一些情况下，所述管辖地持有者/管理者也为一载体网络。根据某些实施 例，在此种情况中，所述一或多个信息网商业公司可从所述管辖地持有者/管理者租用AP 内存资源。如非限定的示例，所述一或多个信息网商业公司可释放内存资源，用于广告及推 广活动、应用程序存储、视讯存储、内文存储、客户流量分析、因特网存取控制、应用程序分 配及内文分配。基于如：广告及推广活动、应用程序存储、视讯存储、内文存储、客户流量分 析、因特网存取控制、应用程序分配及内文分配等的相同目的，所述WLAN操作员也可使用 其AP内存资源，而这些资源是他们尚未释放给信息网商业公司或其它公司的。
[0037] 根据某些实施例，所述云控制器一多租赁云端控制器。所述多租赁云端控制器包 括运行独立的租赁控制器或虚拟控制器的多丛集服务器。根据某些实施例，一云端网站控 制器管理者（SCM)用来帮助一给定的AP在各所述丛集服务器之间辨识所述AP的相对应虚 拟控制器。例如，当一给定的AP对外发送一 "无线存取点的控制及供应"（CAPWAP)探索请 求，所述SCM截取此CAPWAP请求。所述CAPWAP请求包括所述AP的媒体存取控制地址（MAC 地址）及用于与所述AP相关的特定租户账户的凭证。因此，所述SCM可查找所述AP的MAC 地址并将与所述特定的AP有关的特定的租户控制器的地址回传给所述AP。所述AP继而 可使用正确的租户控制器地址而非使用一试错法发送请求给每个租户控制器，直接初始一 CAPWAP协议对话。
[0038] 图2显示根据某些实施例的与存取点相关的探索和注册协议方面的高阶参考图。 图2显示AP20USCM202、数据库203、服务器丛集（或控制器丛集）204、网络管理系统205， 及DNS服务器206。SCM202和AP201沟通以分配一合适的租户控制器212给AP201，以在 AP201和相对应的租户控制器之间建立一在服务器丛集/控制器丛集204中的数据传输层 安全协议（DTLS)对话208。所述AP201可从DNS服务器探索一列表的SCM。当所述DTLS 对话208被建立，所述AP可发送一"加入"请求209给所述AP的在所述服务器丛集/控制 器丛集204中的相对应租户控制器。当所述加入动作成功时，所述租户控制器报告所述AP 的成功加入动作213。此外，所述租户控制器和其它的服务器丛集可报告信息210给所述数 据库203。此信息可包括所述控制器的负载、容量及健康。
[0039] 根据某些实施例的另一方面，所述SCM也作为一在所述多数据中心位置之间的协 调者，服务在如本文所述的所述VEAP网络架构下的AP分配。在所述VEAP网络架构下，所 述数据中心位置对所述管辖地持有者来说是透明的。根据某些实施例，每个数据中心在所 述VEAP网络架构下可由任何AP存取。所述资料中心提供服务给任何管辖地持有者作为一 主站或备份站。任何在一管辖地持有者的前提上所配置的给定的AP，可自动决定其相对应 的资料中心，且无需借由所述管辖地持有者的命令配置即与其连接。所以，所述数据中心需 要被所述AP自动地找到。所述SCM可为一在所述资料中心与在像是AP的一资料中心之间 的协调者，使得在一管辖地持有者的前提上所配置的AP可加入所适合的数据中心及在所 述数据中心的所相对应的租户控制器。
[0040] 所述SCM在每个资料中心中的第一接触点。根据某些实施例，所述SCM具有下列 特征：1)在每个数据中心配置一个SCM且所述SCM为第一接触点。所述SCM具有用以将所 述AP的探索请求重导至合适的数据中心及在所述数据中心内的正确的租户控制器的必要 知识，以建立在所述AP和其相对应的租户控制器之间的一对话；2)所述SCM可正确地重导 并合计将所述AP连接至正确的数据中心位置，而非横跨不同的数据中心位置从相同的区 域位置散布AP ;3)借由给定的AP使用标准的DNS协议发现一列表的SCM。一 AP可使用所 述DNS信息（DNS纪录）与任何的SCM联络。因此，一 AP可以一循环方式与所述列表的SCM 联络，以发现用于注册的合适的数据中心位置。一旦所述注册为成功，所述AP可缓存所述 SCM的地址以接着开启或启动注册请求。
[0041] 根据某些实施例，云端点对点VPN网络使用来避免与用于一公司的子办公室的传 统硬件VPN网关解决方案有关的问题。所述云端点对点VPN网络免除了与在所述公司的每 个办公室站的个别的VPN网关有关的部属与维持所需的高额费用。
[0042] 根据某些实施例，所述云端点对点VPN网络包括：1) 一执行VPN网关的软件（软 VPN网关），以及2) -云端VPN控制器。配置在公司的子办公室站的所述AP可组配以作为 一软VPN网关运行，其可对实时流量策略执行从所述云端VPN控制器下推的策略。所述云 端VPN控制器提供中央VPN策略管理及VPN信道网络。因此，所述云端点对点VPN网络一软 件解决方案，其使得IT员工无需在每个站安装或存取硬件VPN网关，即可轻易地修改/更 新动态地在各种站点之间的VPN流量惯例路径。采用一用于无线网络的云端解决方案的公 司也易于采用一用以连接公司的子办公室、零售店、销售点站的云端VPN解决方案。所以， 所述VPN市场上看数百亿美元。
[0043] 图3显示根据某些实施例的云端点对点VPN动态连结方面的高阶网络图。图3显 示所述云端VPN网络包括云端企业WLAN控制器304a-e、VPN服务引擎306a-d、AP302a-b以 及安全通道305a-b。其中，AP302a-b作为软VPN网关运行。例如，在公司站301，AP302a作 为一软VPN网关运行；在公司站301，AP302a作为一软VPN网关运行。云端企业WLAN控制 器304c、304e分别提供中央VPN策略管理给AP 302a、302b。VPN服务引擎306a-d动态提 供用于公司站301、303之间VPN流量307的安全通道305a-b。无线装置308a、308b经由其 各自AP 302a、302b及云端企业WLAN控制器304c、304e及相对应的安全通道305b沟通。
[0044] 就传统的以硬件实施的企业WLAN控制器而言，每个硬件控制器物理地连接至一 组AP。因此，所述组AP可成组被组配及管理。然而，对于本文所描述的用于WLAN的云端控 制器的状况而言，AP非物理地连接至所述控制器。所以，像这样的AP组，不会以传统的观 念聚集成组。在一给定的管辖地持有者站点，对大量的AP以成组组配施用是困难的，且各 所述AP与云端WLAN控制器有关。根据某些实施例，无线移动领域产生以促进与云端WLAN 控制器有关的AP的成组组配。根据某些实施例，一无线移动领域定义在相同域下管理的AP 群组。在一给定的无线移动领域中的AP彼此相当接近地位于地面，且接近于AP所服务的 无线客户。在一给定的无线移动领域中的AP分享相同的WLAN组配及策略。例如，一无线 移动领域可在一特定位置用来定义AP的范围，像是每个远处于公司总部的公司子办公室。 上述的例子中，用于每个公司子办公室的所述无线移动领域可具有不同的WLAN管理组配。 因此，公司的IP员工通过所述无线移动领域的使用，可轻易且弹性地在每个子办公室应用 不同的WLAN网络设定和策略。
[0045] 图4显示根据某些实施例的通过无线移动领域的使用的AP管理方面的高阶参考 图。图4显示一无线移动领域网络401，其包括一总部无线移动领域402及相对应的子无线 移动领域403、404和405。所述无线移动领域402、403、404及405可具有不同的WLAN设定 和策略。
[0046] 在另一实施例，假定一大学校园在其每个所大楼有配置AP。所述大学具有使用一 无线移动领域来管理在大学校园中所有AP的选择，或对其每个所的财产追踪使用个别的 无线移动领域，或特定对在相同位置内的每个所或每个楼层的不同的管理目的。
[0047] L3移动性或漫游企业WLAN的一特色，其对无线客户端提供无缝地无线连接，所述 无线客户端跨越不同的公司子网漫游。例如，若所述公司具有足够的WLAN RF覆盖，当所述 无线客户端在所述公司的覆盖场附近漫游，则L3移动性可致使诸如V0IP及视讯流等实时 应用程序，在无线客户端（如智能型手机、平板或笔记型计算机）上运行不中断。
[0048] 为了达成L3的移动性，WLAN的产品需要执行以下操作： 1 )将无线客户端的连接从一个AP快速切换到另一个上，以及 2 )保持无线客户端在不同子网络上相同的IP地址 为避免无线客户端上实时运行中的应用程序中断或断线，快速切换是必要的。为执行 无线客户端的连接从一个AP到另一个的快速切换，在无线客户端漫游到的新AP重新认证 所需时间为小于40毫秒，或在某些情况下为小于20毫秒，取决于所述应用程序。在新AP 的重新认证也被称为与新AP的"重新结合"。如果在新AP重新认证所需时间大于20毫秒， 则可发生实时应用程序如VoIP的干扰或断线。认证所需时间在一个使用基于802. IX埠口 存取控制的AAA服务器的一个良好的LAN环境中为大约40毫秒-80毫秒。
[0049] 此外，当无线客户端漫游到与具有不同网络地址的子网络中相关联的一个新的AP 时，无线客户端将获得子网络的IP地址。当无线客户端的IP地址改变为新获得的IP地址 时，在所述无线客户端上运行的应用程序(例如，网络电话或视讯串流)将中断。这种中断是 不适合商业通讯的，并且对于维护网络安全策略也不适当。
[0050] 为了提供适当的第3层（L3 )的移动性，在无线客户端漫游于AP间时，传统的企业 WLAN使用一个位于中心的硬件控制器作为唯一的身份验证，以避免在漫游期间需要在每个 AP进行完整的重新认证。中央硬件控制器可以轻松地在中央控制器和无线客户端的本地 子网络之间设置IP信道，其中无线客户端的IP地址为原先分配的，以使无线客户端可以继 续使用原来的IP地址。然而，传统的硬件控制器解决方案并不适用在使用云端控制器作为 公司/企业网络的WLAN，因为没有对公司网络的中央安装的控制器。作为在云端（因特网） 中，由于不可预知且可能持久的网络延迟的发生，云端控制器不能进行快速切换。此外，由 于云端控制器是在云端，而不是在公司WLAN的中心位置，云端控制器无法建立无线客户端 的本地子网络和云端控制器之间的IP通道。同样地，若因特网的连接是关闭的，云端控制 器将无法维持无线客户端的L3移动性。
[0051] 鉴于以上所述，根据某些实施例，下面的方法用在使用云端控制器以支持在WLAN 中L3的移动性： 1) 预测客户端的漫游范围，以及 2) 使用漫游锚AP。
[0052] 根据某些实施例，客户端漫游范围的预测是用于有关开放快速切换功能上，其通 过在无线客户端漫游期间减少无线客户端在每个AP的重新认证/重新结合过程的往返次 数。往返次数可借由高速暂存来减少，另外也可借由储存在初始的AP (在无线客户端开始 漫游前)认证过程的一部分所产生的主会谈金钥（master session key, MSK)来减少。云端 控制器可以复制MSK到所述无线客户端漫游到的新AP中。因此，当无线客户端漫游到新 的AP时，新的AP只需要重新产生通信金钥（traffic key, TK),以完成重新认证/重新结合 过程，而非以后端的AAA服务器执行完整的重认证过程。为了使MSK被复制到合适的AP中， 云端控制器需要提前知道无线客户端将漫游到哪些AP。根据某些实施例，每个无线客户端 的MSK可以被复制到在公司网络的所有AP中。这样的方法在AP数量少时是有用的，使AP 不至于被大量的金钥淹没。根据另一实施例，无线客户端的MSK只被复制到所述无线客户 端可能漫游到的一组AP中，并建置一超龄时定时器以从这些AP删除所述MSK，以避免AP 被金钥堵塞。为了解释，根据某些实施例，无线客户端可以漫游到的相邻AP的范围（"漫游 范围"）被确定性地识别。
[0053] 图5显示根据某些实施例的无线客户端漫游范围预测方面的高阶参考图。图5显 示AP的1'、1'、'(：'、'0'、1'、1'、'6'、'!1'。本实施例可以包括任何数量的4?，但在此 为便于描述只显示8个AP。当无线客户端首先与AP的'C'相关联，预测的无线客户端漫 游范围包括由绿色虚线502所示的相邻的' A'、' B'、' D'、' E'。当无线客户端移动到' E'， 则预测的无线客户端漫游范围包括由红色虚线503所示的相邻的' C'、' D'、' F'、' H'。类似 地，当无线客户端移动到' F'，则预测的无线客户端漫游范围包括由蓝色虚线504所示的相 邻的' D'、' E'、' H'、' G'，等等。因此，MSK可以被复制到无线客户端漫游范围中的一组有限 的AP中，而不是被复制到在持有者的管辖地或公司网络中的所有AP。然而，如果云端控制 器是不可达的，例如，当所述公司的WAN或因特网是关闭的，那在无线客户端的预测漫游范 围中就没有将MSK复制到AP的云端控制器。根据某些实施例，图9是显示AP间通讯方面的 高阶网络图。图9显示一企业WLAN 900、AP 901a-m、漫游范围902、AP间通讯903和无线客 户端905。根据某些实施例，当云端控制器不可达以将MSK复制到在无线客户端905预测漫 游范围902内的AP，则AP 901a-m可通过返航传输的有线网络接口执行AP间通讯903来 交换MSK和在无线客户端905漫游范围内的AP之间所需的其它信息。AP是顺应802. 11标 准，定期广播无线客户端905可以检测的信标框。根据某些实施例，AP具有WLAN的SSID和 AP的IP地址如嵌入在AP信标框的802. 11供货商特定的信息元素 （information element, IE)。携带此类802. 11厂商特定的IE和被广播的信标框将只被漫游范围内的AP所接收。 漫游范围外的AP将不会收到这样的广播信标框。因此，在漫游范围内的AP可以检测彼此， 并互相通讯及交换MSK信息，而不需与云端控制器连接。同样地，AP间通讯可以应用在提 供相对于本文所描述的"漫游锚AP"的功能。
[0054] 根据某些实施例，漫游锚AP是在无线客户端在同一子网络内的AP间漫游或漫游 到不同的子网络时，用于使无线客户端保持相同的IP地址。漫游锚AP是在无线客户端最 初从子网络获取其IP地址的AP。漫游锚AP成为漫游的无线客户端的锚点。云端控制器可 以张贴漫游锚AP的IP地址信息到所述漫游锚AP的相邻AP中。例如，当无线客户端漫游 到相邻的AP，则相邻的AP (例如'X'）可形成一个漫游锚AP的IP通道，使得无线客户端可 保留其原来的IP地址。当无线客户端漫游到另一个AP (例如'Y'），则一个新的IP通道在 'Y'和漫游锚AP之间形成，而不是在'X'。形成IP通道的这种方法避免以过多的IP通道 增殖在AP上超载。此外，由于漫游锚AP的信息是被存储在每个AP中，L3移动性功能仍然 可行，即使当一个给定的AP已经失去对到云端控制器的连接。在云端控制器在起始时为不 可用的情况下，当无线客户端获得其原始IP地址以决定漫游的无线客户端的锚AP时，使用 上述AP间通讯的广播信标框可以被应用以提供锚AP信息给在"漫游范围"的AP。图6为 根据某些实施例的子网络地址信息601和漫游锚AP地址602的样本数据格式表。
[0055] 图7显示根据某些实施例的云端第3层网络的移动性控制方面的高阶网络图。图 7显示了一个云端控制器701、存取点（AP)702A-1、漫游锚AP 703、无线客户端706和子网 络707、708和709。为了控制L3的移动性，云端控制器701复制MSK进入无线客户端706 的漫游范围中的"相邻AP"。例如，为了保持无线客户端706的IP地址，当无线客户端706 从子网络707漫游到子网络708再到子网络709, IP信道在漫游锚AP和一个给定的AP 702 之间形成。如本文所述的用于控制L3移动性的方法可用在使用云端控制器的大型企业办 公网络，以提供连续的无线VoIP通讯及行动装置的网络安全策略。
[0056] 根据某些实施例，在无线客户端的设备的漫游范围的"相邻AP"送出与客户端设备 相关联的无线电讯号强度指针（RSSI)信息到云端控制器中。此外，存取点在一个给定的漫 游范围内通过WiFi或有线网络接口交换彼此间的信息。所交换的信息包括WLAN SSID(月艮 务集标识？）信息以及在存取点的漫游范围内的每个相应存取点的IP地址信息。
[0057] 无线存取点控制及供应（" CAPWAP "）是一个可交互运作的协议，它能使一个控 制器来管理无线存取点的集合。CAPWAP协议包括使用用于控制通道的UDP端口口 5246和 用于数据信道的端口口 5247。CAPWAP的标准使配置管理和装置管理被推入AP。CAPWAP协 议包括几个阶段：1 )发现，2 )加入，3 )配置，4 )韧体更新，以及5 )管理。现有的 CAPWAP发现协议在因特网上并不能正常工作，因为UDP广播仅限于公司网络，并且不会被 转发到因特网上。此外，在企业网络内的防火墙也可能阻止UDP单播到因特网。CAPWAP发 现协议只可在专用的和预先配置的硬件控制器上工作。如本文所述，CAPWAP发现协议并不 能够发现建构于多租户云结构的虚拟控制器。
[0058] 根据某些实施例，使用标准超文件传送协议加密（Hypertext Transfer Protocol Secure，HTTPS)协议的云端控制器CAPWAP发现协议是用来取代本文中所描述用于多租户 云架构的传统CAPWAP。云端控制器CAPWAP发现协议可以解决与企业网络相关的潜在的防 火墙问题。云端控制器CAPWAP发现协议首先发现相应的虚拟控制器，并协商适当的传输协 议。例如，所述传输协议可以是原始的UDP协议或超文件传送协议（Hypertext Transfer Protocol，HTTP))取决于企业网络防火墙状态。UDP是云端控制器较佳的传送方式，因为 HTTP对话可能会导致对云端资源的缩放问题。云端控制器CAPWAP发现协议将最佳化云 端控制器的资源使用情况。云端控制器CAPWAP发现协议第一步建立在扩展CAPWAP协议 到外部的因特网，而不是将其限制于公司内的私有LAN或VPN网络。因此，与云端控制器 一起使用的云端CAPWAP发现协议提供了一个因特网解决方案，而不是仅限在使用公司内 部网络或在广域网络如多协议卷标交换虚拟专用网络（multiprotocol label switching virtual private network，MPLS VPN )使用 VPN。
[0059] 根据发现阶段的结果，云端CAPWAP发现协议可以协商用于AP的HTTP协议的使 用，以在所述公司的防火墙将UDP协议阻止于因特网时，加入并与云端控制器通讯。根据某 些实施例，为了保持与传统CAPWAP UDP协议的兼容性，云端CAPWAP UDP协议都是通过一个 HTTP通道传送。AP和云端控制器皆可选择以HTTP协议封装和解封装CAPWAP UDP封包。 HTTP协议是一个TCP的传输协议，其与UDP传输是完全不同的。每个UDP封包都有一个以 收据承兑的封包边界指示。整个信息的原始发送长度是通过读取操作在接收器一侧的UDP 信息来获知。与此相反，TCP协议数据是以字节串流读取，并无传送可分辨讯号信息边界的 指示。此外，因为TCP协议数据是以字节串流读取，接收器在UDP原始信息封包中发生读取 中断的机会是非常高的。根据某些实施例，包括在HTTP协议中的UDP封包的边界指示的一 种专用的轻量级协议是被使用的。此外，这样的轻量级协议也以确保在接收器一侧的UDP 信息的读取不在原始m)P封包中发生中断的方式来维持。这样的协议完成了 CAPWAP协议 从企业LAN环境迁移到因特网环境(云端环境)，同时仍保持与原标准的CAPWAP UDP协议的 兼容性，以确保与传统企业AP和/或传统企业控制器的可交互运作性。
[0060] 根据某些实施例，当AP检测到在AP和相应的云端控制器之间存在防火墙时，AP具 有智能从在一个数据报传输层安全（Datagram Transport Layer Security, DTLS)协议上 的CAPWAPAP切换到在HTTP协议上的CAPWAP。换句话说，在发现阶段被完成后，作为预设， 一个给定的AP将使用DTLS协议上的CAPWAP来连接并与云端控制器通讯，以在AP和云端 控制器之间无防火墙时，确保在UDP数据传输的通讯。然而，如果在AP和云端控制器之间 有防火墙，则AP具有足够智能以检测出防火墙，并将连接及使用HTTP或HTTPS协议与云端 控制器进行通讯。
[0061] 为了捕获封包的痕迹，例如来自一个高速网络链接上的所有HTTP URL/标头，并在 硬盘上储存这些痕迹以进行进一步之后处理是需要高成本的硬件平台或最佳化的操作系 统网络堆栈，以减少内存复制的次数。然而，一般的操作系统并非随着最佳化网络堆栈或低 成本的平台一起发展，如零售WiFi AP或甚至一个企业级的光AP。因此，收集高速封包的痕 迹同时不在AP的性能上折衷是一个挑战。
[0062] 在一般的操作系统中，储存捕获的网络封包到硬盘上的路径包括以下内容：1)网 络处理器执行深度封包检测以过滤捕获的封包，2)网络处理器捕获封包并将所述封包复制 到一个直接内存存取（direct memory access, DMA),并导致CPU唤醒操作系统及安排一个 用户空间的软件应用程序来读取和写入一磁盘档案，以及3)操作系统中的档案系统运作是 昂贵的，特别是为了将数据写入磁盘档案中使用了大量的CPU时间。例如，在Linux EXT3 档案系统中，根据数据操作的类型，CPU使用率可从27% - 99%。此外，当使用高速网络连 接到磁盘档案来捕获并储存封包时，CPU占用率显著，并会影响AP的效能。
[0063] 根据某些实施例，将来自AP网络处理器的封包储存到AP的硬盘上的一个快速路 径是被使用的。根据某些实施例，在AP网络处理器捕获封包并将数据储存在DMA中之后， 比起唤醒AP的0S以重新安排一个用户空间的软件应用程序来读取和写入一 AP磁盘档案， 所述AP的0S被配置以呼叫一个AP核心空间的驱动程序直接从DMA传输数据到AP的硬盘 上，从而完全绕过AP的0S档案系统。核心空间的驱动程序的CPU使用率是相对较小的。然 而，必须折衷的是，在磁盘上的数据不能以一般0S档案系统能够处理的格式储存。因此，根 据某些实施例，并非通过AP的0S档案系统从磁盘档案中读取数据，而是使用一个核心驱动 程序API直接从供用户空间读取/写入应用程序的储存所述封包的磁盘读取。这样的程序 再一次绕过AP的0S档案系统的操作。这种方法消除了每个捕获的封包往返档案系统I / 0过程的痕迹。所述方法几乎是一个只使用很少CPU时间的对网络处理器到硬盘的直接硬 件复制。
[0064] 图8显示根据某些实施例在一 AP的快速网络数据储存路径设计方面的高阶网络 不意图。图8显不一个AP WiFi驱动器801、一个AP网络驱动器802、一个AP磁盘驱动器 803、一个AP 0S档案系统805、一个读/写应用程序806和一个AP 0S核心808。用于数据 储存的快速路径以红色表示(虚线箭头)，借此，网络驱动器802绕过0S档案系统805,并且 使用所述读/写应用程序806将数据写入所述AP硬盘。
[0065] 上述实施例仅仅是为清楚地说明本发明创造所作的举例，而并非对本发明创造具 体实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出 其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的 精神和原则的内所引伸出的任何显而易见的变化或变动仍处于本权利要求的保护范围的 中。
【权利要求】
1. 一种多租户虚拟存取点-网络资源虚拟化的方法，其特征在于，包括： 在一物理位置配置多个无线存取点硬件单元； 将多个虚拟无线存取点与在所述物理位置的各所述无线存取点硬件单元的一对应的 无线存取点硬件单元结合； 向一第一 WLAN网络操作员租赁各所述虚拟无线存取点的一第一子集；以及 向一第二WLAN网络操作员租赁各所述虚拟无线存取点的一第二子集。
2. 根据权利要求1所述的方法，其特征在于，进一步包括使用一云端控制器管理各所 述虚拟无线存取点。
3. 根据权利要求1所述的方法，其特征在于，进一步包括允许所述第一 WLAN网络操作 员管理其不受与所述物理位置有关的任何其它WLAN网络操作员的IP地址分配。
4. 根据权利要求1所述的方法，其特征在于，进一步包括允许所述第二WLAN网络操作 员管理其不受与所述物理位置有关的任何其它WLAN网络操作员的IP地址分配。
5. 根据权利要求1所述的方法，其特征在于，进一步包括允许所述物理位置的持有者 通过租赁各所述虚拟无线存取点的至少一子集的虚拟无线存取点赚取收入。
6. 根据权利要求1所述的方法，其特征在于，进一步包括允许所述物理位置的持有者 将横跨多个无线存点硬件单元的虚拟无线存取点集合起来。
7. -种无线网络，其特征在于，包括： 多个无线存取点硬件单元在一管辖地配置， 其中各所述无线存取点硬件单元的一无线存取点硬件单元提供多个虚拟无线存取 占. 其中， 各所述无线存取点硬件单元由所述管辖地的一操作员所有； 各所述虚拟无线存取点的一第一子集的虚拟无线存取点由一第一 WLAN提供者所有； 各所述虚拟无线存取点的一第二子集的虚拟无线存取点由一第二WLAN提供者所有。
8. 根据权利要求7所述的无线网络，其特征在于，进一步包括至少一个用以管理各所 述虚拟无线存取点的云端控制器。
9. 根据权利要求7所述的方法，其特征在于，各所述虚拟无线存取点可横跨多个无线 存取点硬件单元被集合起来。
10. 根据权利要求7所述的方法，其特征在于，各所述虚拟无线存取点的所述第一子 集的虚拟无线存取点，与可不受相关于所述第二子集的虚拟无线存取点的一第二子集的IP 地址分配的一第一组IP地址相关。
11. 根据权利要求7所述的方法，其特征在于，各所述虚拟无线存取点的每个群组与一 服务设定识别符相关。
12. 根据权利要求7所述的方法，其特征在于，各所述虚拟无线存取点的每个群组与一 独特群组名。
【文档编号】H04L12/46GK104144205SQ201410199035
【公开日】2014年11月12日 申请日期:2014年5月12日 优先权日:2013年5月10日
【发明者】陈镇翔, 卢威, 史瑞普瓦布·瑞米席 申请人:瑞雷2股份有限公司