支持无线接入和远程接入的企业网络系统的制作方法

文档序号:7697979阅读:224来源:国知局
专利名称:支持无线接入和远程接入的企业网络系统的制作方法
技术领域
本发明属于企业虚拟网技术领域,具体涉及一种支持无线接入和远程接入的企业网络系统。
背景技术
现有技术中大部分企业采用如图1所示的网络架构进行部署,企业网分为接入层、汇聚层和核心层,所述接入层设置有供用户有线接入的接入交换机,用户通过有线网络接入接入交换机;所述核心层设置有核心交换机、与核心交换机连接的服务器集群,所述汇聚层设置有若干个汇聚交换机,所述接入交换机与核心交换机连接,核心交换机通过网关、 防火墙与外网连接。服务器集群包括邮件服务器、文件服务器、AAA服务器和web服务器等。通过对企业网络划分VLAN来进行子网划分、访问隔离以及对用户组实施不同的策略控制等。这种架构存在以下缺陷(1)仅在企业网的出口处通过网关或防火墙引入了对用户访问hternet行为的策略控制(如访问控制、QoS等),用户对企业网内部资源的访问控制手段比较欠缺。(2)对用户数据流的策略控制粒度比较粗,通常是基于VLAN以及为数不多的ACL 策略来实现。对用户数据流进行策略控制的设备比较集中,往往会成为企业网络性能的瓶颈。然而随着WLAN等一系列无线网络通信技术的蓬勃发展,移动办公、远程接入成为一种新的工作方式。如此灵活的用户接入方式又暴露了传统的企业网络架构一些新的问题(1)为支持用户的无线接入方式,企业必须重新部署无线网络,网络所提供的有线接入功能与无线接入功能无法做到融合。(2)不具备企业网内用户的远程接入功能,无法应对远程办公等移动应用需求。因此,现阶段迫切地需要一种全新的企业网络架构来应对现有技术中遇到的一系列挑战。本发明因此而来。

发明内容
本发明目的在于提供一种支持无线接入和远程接入的企业网络系统,解决了现有技术中不具备企业网内用户的远程接入和无线接入功能,无法应对远程办公和移动办公等问题。为了解决现有技术中的这些问题,本发明提供的技术方案是一种支持无线接入和远程接入的企业网络系统,包括接入层、汇聚层和核心层,所述接入层设置有供用户有线接入的接入交换机、供无线用户接入的无线接入点;所述核心层设置有核心交换机、与核心交换机连接的服务器集群,其特征在于所述汇聚层设置有企业用户接入服务器(Enterprise Customer Access krver,ECAS)节点,所述企业用户接入服务器节点分别与接入层的接入交换机和无线接入点网络连接,负责控制管理接入用户和核心交换机的连接。优选的,所述核心交换机与internet网络间设置防火墙,所述防火墙与核心交换机间设置企业远程接入服务器(Enterprise Remote Access krver,ERAQ节点,所述企业远程接入服务器节点负责远程登录用户的远程访问控制和传输控制。优选的,所述企业远程接入服务器节点设置在企业网络与运营商骨干网之间的企业网边缘层。优选的,所述企业用户接入服务器节点能够对网络报文提供二层、三层交换服务; 能够作为NAS提供对通过有线或无线方式接入用户统一的认证、授权,并与认证服务器对接;并配置基于域、用户组、单个用户的数据流策略,对用户提供区分服务、访问控制。优选的,所述企业用户接入服务器节点支持无线接入控制器功能,对与其连接的所有提供无线服务的无线接入点进行配置、维护和管理。优选的,所述企业远程接入服务器节点能够对企业网外部接入的用户提供认证、 授权,与认证服务器对接;并配置基于域、用户组、单个用户的数据流策略,对用户提供区分服务、访问控制,为远程接入用户提供安全通信机制,提供与远程接入用户的保密通信。优选的,所述企业远程接入服务器节点支持三层路由功能;支持与其它企业远程接入服务器节点设备对接并进行保密通信。本发明构建了一种无缝融合有线和无线接入方式的企业网络架构,尤其涉及能够对企业网络中各种灵活接入的用户提供最大化的接入认证、网络授权、流量控制等策略控制而不影响网络服务性能的企业网络架构。本发明中提出的新型的企业网络架构将无缝融合企业网中有线部分和无线部分网络服务;能够对用户进行精细的接入和数据流策略控制,且完全不会影响到网络的整体通信性能。本发明企业网络架构中引入了ECAS(Enterprise Customer Access Server)和 ERAS (Enterprise Remote Access Server)两个节点。ECAS属于企业网络的汇聚层,其基本功能是一个三层的汇聚交换机。除了对用户提供报文的二、三层转发以外,ECAS还具有以下功能1)融合了有线和无线侧的NAS功能, 为有线或无线用户提供接入、认证、授权、计费等功能。2)基于用户进行策略控制,根据网络管理员的策略配置对各个认证通过的用户分别提供不同的流策略控制,从而实现基于用户级别的接入控制、网络资源访问控制、QoS等。通过无线或有线链路接入的用户在访问网络资源之前需要先通过认证,用户、 ECAS、AAA服务器三者之间构成了申请者、认证者和认证服务器的角色。这时,ECAS充当了 NAS的功能。当用户通过网络认证之后,ECAS将根据网络管理员事先对接入用户配置的信息来进行用户授权。比如,某些用户可以访问企业的文件服务器、邮件服务器、而不允许访问 Internet。ERAS属于企业网络边缘层,与运营商骨干网连接,其基本功能是充当企业网的网关,除此之外,ERAS还扩展了以下功能1)为企业内部用户的远程登入提供接入认证、授权等功能。2、为远程用户通信提供保密通信机制,如IPkc,SSL等等。幻为远程用户提供远程访问的策略控制功能。4)为多分支机构的企业提供安全网关的功能。ERAS除了作为企业网关以外主要服务于外部接入的用户,这些用户可能是属于企业的远程接入用户,也可能是广域网中任何一个访问企业资源的企业外部用户。外部接入用户(这里的外部指的是物理上而非逻辑上的外部)在能够访问企业网络资源以前也需要经历认证与授权过程,与之前阐述的企业内部用户不同的是这里的外部接入用户、ERAS、 AAA服务器之间构成了申请者、认证者和认证服务器的角色。这时ERAS充当了 NAS的功能。 当外部用户通过企业网络的认证和授权之后,ERAS能够对这些用户进行精细的策略控制, 可以是基于用户角色组的,甚至可以是在用户级别上的策略控制。相对于现有技术中的方案,本发明的优点是在本发明的网络架构中,用户策略控制在汇聚层终结(对于通过企业内部网络接入的用户,服务策略控制在处于汇聚层的ECAS节点终结,通过外部网络接入的用户的策略控制在处于企业边缘汇聚层的ERAS节点终结),这种架构将原先在企业核心层进行的用户策略控制分别向内、向外移至汇聚层和边缘层,这为实现基于用户的策略控制提供了性能保证,因为单个ECAS或ERAS节点上被分到的用户规格不至于过大,解决了集中式用户策略控制网络中部分节点数据流负载过大而成为网络瓶颈的问题。另一方面,ECAS节点和ERAS节点向内和向外都离用户更近,在这些节点上进行用户数据流的策略控制将更加精确,对企业网络的核心转发性能的影响被降到最低。


下面结合附图及实施例对本发明作进一步描述图1为现有技术中企业网络的架构拓扑图;图2为本发明实施例支持无线接入和远程接入的企业网络系统的架构拓扑图。图3为本发明实施例企业内部用户进行接入访问时的认证角色图。图4为本发明实施例企业外部用户接入时的认证角色图。图5为本发明实施例企业网本地无线用户接入认证流程图。图6为本发明实施例ECAS/ERAS对用户进行接入认证的流程图。图7为本发明实施例ECAS/ERAS实现的粗/细粒度用户访问控制策略。
具体实施例方式以下结合具体实施例对上述方案做进一步说明。应理解,这些实施例是用于说明本发明而不限于限制本发明的范围。实施例中采用的实施条件可以根据具体厂家的条件做进一步调整,未注明的实施条件通常为常规实验中的条件。如图2所示,该企业网络,包括接入层、汇聚层、核心层和边缘层,所述接入层设置有供用户有线接入的接入交换机、供无线用户接入的无线接入点;所述核心层设置有核心交换机、与核心交换机连接的服务器集群,所述汇聚层设置有企业用户接入服务器 (Enterprise Customer Access Server,ECAS)节点,所述企业用户接入服务器节点分别与接入层的接入交换机和无线接入点网络连接,负责控制管理接入用户和核心交换机的连接;所述边缘层设有企业远程接入服务器(Enterprise Remote Access krver,ERAQ和防火墙,所述企业远程接入服务器节点作为企业网络的网关并负责远程登录用户的远程访问控制和传输控制。企业用户接入服务器节点能够对网络报文提供二层、三层交换服务;能够作为 NAS提供对通过有线或无线方式接入用户统一的认证、授权,以及与认证服务器对接;并配
5置基于域、用户组、单个用户的数据流策略,对用户提供区分服务、访问控制。所述企业用户接入服务器节点支持无线接入控制器功能,对与其连接的所有提供无线服务的无线接入点进行配置、维护和管理。企业用户接入服务器(ECAS)对无线用户的WPA认证流程如图5所示。ECAS与无线用户之间的报文交互在AP和ECAS这段部分链路上的传输由业内标准的CAPWAP协议实现,CAPffAP协议中所给出的DTLS保证了 AP与ECAS之间的隧道通信的私密性。ECAS首先对无线用户进行802. Ix认证,完成后ECAS和无线用户双方会产生成对的通信主密钥并触发ECAS与用户进行4次密钥握手来产生用户无线保密通信的成对临时密钥,最后ECAS通过经安全加密的CAPWAP隧道将成对临时密钥下发至AP实现无线用户与AP之间无线链路的加密通信。企业用户接入服务器使得无线与有线用户的数据流策略控制功能均统一在ECAS 节点上终结,ECAS节点以后的所有网络节点统一处理来自于有线和无线侧的数据流,而不对它们进行区分处理,因此实现了企业网中有线服务与无线服务的融合。企业远程接入服务器节点设置在企业网络与运营商骨干网之间的企业网边缘层, 支持三层路由功能,为企业内部网络提供网关服务。所述企业远程接入服务器节点能够对企业网外部接入的用户提供认证、授权,与认证服务器对接;并配置基于域、用户组、单个用户的数据流策略,对用户提供区分服务、访问控制,为远程接入用户提供安全通信机制,提供与远程接入用户的保密通信;支持与其它企业远程接入服务器节点设备对接并进行保密
ififn。企业本地用户或企业远程接入用户在正常访问网路之前需要依次历经了认证交互、授权、密钥握手这几个阶段,如图6所示。企业用户接入服务器(ECAQ和企业远程接入服务器(ERAQ通过用户策略表、用户组策略表和策略表(如图7所示)实现对用户进行粗细粒度的访问控制以及提供区分服务。网络管理员在ECAS和ERAS上配置的用户访问控制策略保存在用户策略表、用户组策略表和策略表中,随后在企业本地用户或远程用户接入网络并认证通过后的授权阶段,ECAS或ERAS才真正激活这三张表中对当前用户的访问控制策略。若用户策略表中标识当前认证通过用户的表项的用户组ID和策略ID同时有效时由策略ID决定了当前用户的访问控制策略,这实现了以用户为单位的细粒度访问控制;否则,ECAS/ERAS对用户所实施的访问控制策略以用户所在的用户组决定,以此实现以用户组为单位的粗粒度访问控制。对于未配置策略的用户将统一采用默认的访问控制策略以及服务等级。上述实例只为说明本发明的技术构思及特点,其目的在于让熟悉此项技术的人是能够了解本发明的内容并据以实施,并不能以此限制本发明的保护范围。凡根据本发明精神实质所做的等效变换或修饰,都应涵盖在本发明的保护范围之内。
权利要求
1.一种支持无线接入和远程接入的企业网络系统,包括接入层、汇聚层和核心层,所述接入层设置有供用户有线接入的接入交换机、供无线用户接入的无线接入点;所述核心层设置有核心交换机、与核心交换机连接的服务器集群,其特征在于所述汇聚层设置有企业用户接入服务器(Enterprise Customer Access krver,ECAS)节点,所述企业用户接入服务器节点分别与接入层的接入交换机和无线接入点网络连接,负责控制管理接入用户和核心交换机的连接。
2.根据权利要求1所述的支持无线接入和远程接入的企业网络系统,其特征在于所述核心交换机与internet网络间设置防火墙,所述防火墙与核心交换机间设置企业远程接入服务器(Enterprise Remote Access krver,ERAS)节点,所述企业远程接入服务器节点负责远程登录用户的远程访问控制和传输控制。
3.根据权利要求2所述的支持无线接入和远程接入的企业网络系统,其特征在于所述企业远程接入服务器节点设置在企业网络与运营商骨干网之间的企业网边缘层。
4.根据权利要求2所述的支持无线接入和远程接入的企业网络系统,其特征在于所述企业用户接入服务器节点能够对网络报文提供二层、三层交换服务;能够作为NAS提供对通过有线或无线方式接入用户统一的认证、授权,并与认证服务器对接;并配置基于域、用户组、单个用户的数据流策略,对用户提供区分服务、访问控制。
5.根据权利要求2所述的支持无线接入和远程接入的企业网络系统,其特征在于所述企业用户接入服务器节点支持无线接入控制器功能,对与其连接的所有提供无线服务的无线接入点进行配置、维护和管理。
6.根据权利要求2所述的支持无线接入和远程接入的企业网络系统,其特征在于所述企业远程接入服务器节点能够对企业网外部接入的用户提供认证、授权,与认证服务器对接;并配置基于域、用户组、单个用户的数据流策略,对用户提供区分服务、访问控制,为远程接入用户提供安全通信机制,提供与远程接入用户的保密通信。
7.根据权利要求6所述的支持无线接入和远程接入的企业网络系统,其特征在于所述企业远程接入服务器节点支持三层路由功能;支持与其它企业远程接入服务器节点设备对接并进行保密通信。
全文摘要
本发明公开了一种支持无线接入和远程接入的企业网络系统,包括接入层、汇聚层和核心层,所述接入层设置有供用户有线接入的接入交换机、供无线用户接入的无线接入点;所述核心层设置有核心交换机、与核心交换机连接的服务器集群,其特征在于所述汇聚层设置有企业用户接入服务器(Enterprise Customer Access Server,ECAS)节点,所述企业用户接入服务器节点分别与接入层的接入交换机和无线接入点网络连接,负责控制管理接入用户和核心交换机的连接。该系统解决了集中式用户策略控制网络中部分节点数据流负载过大而成为网络瓶颈的问题,且对企业网络的核心转发性能的影响被降到最低。
文档编号H04L12/56GK102255892SQ20111016424
公开日2011年11月23日 申请日期2011年6月17日 优先权日2011年6月17日
发明者沈文, 陈煜 申请人:苏州汉明科技有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1