无线控制器设备、无线认证处理方法、系统、组网

1.一种无线认证处理方法，其特征在于，该方法应用于无线认证处理系统中，该系统包括均衡分流模块，均衡中继模块以及并发认证模块，其中，并发认证模块占用CPU处理器内核1至内核N的计算资源，均衡分流模块占用CPU处理器内核N+1至内核M的计算资源，所述方法包括如下步骤：
S101、当接收到无线终端或Radius认证服务器发送的认证报文后，均衡分流模块对需要重定向的认证报文进行负载均衡分流算法的计算得到与认证报文相应的认证线程；
S102、均衡中继模块将报文加入所确定的认证线程线程；
S103、并发认证模块处理相应的认证线程以执行认证操作；
所述负载均衡分流算法的实现流程具体包括：
S1011、判断认证报文方向，当认证报文方向为上行方向时进入步骤S1012，当认证报文方向为下行方向时进入步骤S1014；
S1012、取出并发认证模块的CPU内核数量N，从认证报文中提取出无线终端的MAC地址的最后一个字节数值，然后使用这个数值对N进行模运算得到结果数值j，所述结果数值j的数值范围是0至N-1；
S1013、确定数值j对应的认证线程为第j+1认证线程上，然后进入步骤S1015；
S1014、均衡分流模块提取报文UDP报头的目的UDP端口号，确定目的UDP端口号对应的认证线程，然后进入步骤S1015；
S1015、把报文转发到均衡中继模块并映射到对应的认证线程。
2.根据权利要求1所述的一种无线认证处理方法，其特征在于，所述步骤S101前还包括如下步骤：
并发认证模块执行配置状态，配置在执行认证操作过程中只读的共享配置数据。
3.根据权利要求2所述的一种无线认证处理方法，其特征在于，所述共享配置数据包括认证的具体模式、WLAN的ssid、无线终端的MAC地址。
4.一种无线认证处理系统，其特征在于，包括均衡分流模块、均衡中继模块、并发认证模块，其中，并发认证模块占用CPU处理器内核1至内核N的计算资源，均衡分流模块占用CPU处理器内核N+1至内核M的计算资源；
所述均衡分流模块用于当接收到无线终端或Radius认证服务器发送的认证报文后，对需要重定向到并发认证模块的认证报文进行负载均衡分流算法的计算得到与认证报文相应的认证线程；
所述均衡中继模块用于将报文映射到均衡分流模块所确定的认证线程；
所述并发认证模块用于处理相应的认证线程与Radius认证服务器进行交互以执行认证操作；
所述均衡分流模块包括第一判断单元、第一运算单元、第一确定单元、第二确定单元以及转发映射单元；
第一判断单元用于判断认证报文方向，当认证报文方向为上行方向时通知第一运算单元执行操作，当认证报文方向为下行方向时通知第二确定单元执行操作；
第一运算单元用于取出并发认证模块30的CPU内核数量N，并从认证报文中提取出无线终端的MAC地址的最后一个字节数值，然后使用这个自字节数值对N进行模运算得到结果数值j，所述结果数值j的数值范围是0至N-1；
第一确定单元用于确定数值j对应的认证线程为第j+1认证线程上，然后通知均衡转发映射单元执行操作；
第二确定单元用于提取报文UDP报头的目的UDP端口号，确定目的UDP端口号对应的认证线程，然后通知转发映射单元执行操作；
转发映射单元用于把报文转发到均衡中继模块并映射到对应的认证线程。
5.根据权利要求4所述的一种无线认证处理系统，其特征在于，所述并发认证模块具体包括配置单元和执行单元；所述配置单元用于执行配置状态，配置在执行认证操作过程中只读的共享配置数据；所述执行单元用于当所述配置单元配置结束后，执行认证状态，处理认证线程以执行认证操作。
6.根据权利要求5所述的一种无线认证处理系统，其特征在于，所述共享配置数据包括认证的具体模式、WLAN的ssid、无线终端的MAC地址。
7.一种无线控制器设备，其分别通信连接于多个无线终端和Radius认证服务器，其特征在于，所述无线控制器设备的CPU运行有如权利要求4-6任意一项所述的一种无线认证处理系统。
8.一种无线认证处理系统的组网装置，其特征在于，包括Radius认证服务器、无线控制器设备以及与无线控制器设备通信连接的无线终端，所述无线控制器设备的CPU运行有如权利要求4-6任意一项所述的一种无线认证处理系统。

无线控制器设备、无线认证处理方法、系统、组网\n技术领域\n[0001] 本发明涉及一种无线控制器设备、无线认证处理方法、系统、组网。\n背景技术\n[0002] 随着WLAN技术的不断成熟，无线网络的应用规模越来越大，特别是瘦AP无线构架组网应用的成熟，出现了单个无线局域网中有大量的终端设备存在的情况。要求单台无线控制器设备(AC)管理大量的无线接入点设备(AP)和无线终端设备(STA)。在运营商WLAN网络的应用中已经要求单台无线控制器设备最多管理4096个无线接入点设备(AP)，如果按照每台AP带点数为64个无线终端用户设备，那么总共管理的无线终端用户数达到256K。在如此大量的无线终端数管理需求下，对无线控制器设备的并发接入认证性能也提出更大的挑战。\n[0003] SMP(Symmetric Multi-Processing，对称多处理机)是指在一个计算机上汇集了一组处理器(多CPU)，各CPU之间共享内存子系统以及总线结构。它是相对非对称多处理技术而言的、应用十分广泛的并行技术。在这种架构中，一台电脑同时由多个处理器运行操作系统的单一复本，并共享内存和一台计算机的其他资源。虽然同时使用多个CPU，但是从管理的角度来看，它们的表现就像一台单机一样。系统将任务队列对称地分布于多个CPU之上，从而极大地提高了整个系统的数据处理能力。所有的处理器都可以平等地访问内存、I/O和外部中断。在对称多处理系统中，系统资源被系统中所有CPU共享，工作负载能够均匀地分配到所有可用处理器之上，从而提高整个系统的数据处理能力。\n[0004] 目前，通常的做法是更换更高处理性能的硬件构架以及以SMP方式运行无线控制器的控制管理子系统。这种做法的缺点是增加了设备开发的成本以及运行的功耗，并且提高接入认证的并发处理性能幅度比较有限。在SMP方式下运行，操作系统调度执行的基本单位是线程，这些被调度的线程完全对等随机地在多个处理器内核上运行，这就要求线程内部运行的上下文信息必须进行完整保护，计算性能额外开销比较大。\n发明内容\n[0005] 为了在现有的多核处理器硬件构架上实现高性能的并发接入认证，本发明专利提出了一种基于无线认证处理方法与系统。\n[0006] 为解决上述技术问题，本发明采用的一个技术方案是：\n[0007] 提供一种无线认证处理方法，该方法应用于无线认证处理系统中，该系统包括均衡分流模块，均衡中继模块以及并发认证模块，其中，并发认证模块占用CPU处理器内核1至内核N的计算资源，均衡分流模块占用CPU处理器内核N+1至内核M的计算资源，所述方法包括如下步骤：S101、当接收到无线终端或Radius认证服务器发送的认证报文后，均衡分流模块对需要重定向的认证报文进行负载均衡分流算法的计算得到与认证报文相应的认证线程；S102、均衡中继模块将报文加入所确定的认证线程；S103、并发认证模块处理相应的认证线程以执行认证操作。\n[0008] 本发明采用的另一个技术方案是：\n[0009] 提供一种无线认证处理系统，包括均衡分流模块、均衡中继模块、并发认证模块，其中，并发认证模块占用CPU处理器内核1至内核N的计算资源，均衡分流模块占用CPU处理器内核N+1至内核M的计算资源；所述均衡分流模块用于当接收到无线终端或Radius认证服务器发送的认证报文后，对需要重定向到并发认证模块的认证报文进行负载均衡分流算法的计算得到与认证报文相应的认证线程；所述均衡中继模块用于将报文映射到均衡分流模块所确定的认证线程；所述并发认证模块用于处理相应的认证线程与Radius认证服务器进行交互以执行认证操作。\n[0010] 本发明采用的另一个技术方案是：\n[0011] 提供一种无线控制器设备，其分别通信连接于多个无线终端和Radius认证服务器，无线控制器设备的CPU运行有所述的一种无线认证处理系统。\n[0012] 本发明采用的另一个技术方案是：\n[0013] 提供一种无线认证处理系统的组网，包括Radius认证服务器、无线控制器设备以及与无线控制器设备通信连接的无线终端，所述无线控制器设备的CPU运行有所述的一种无线认证处理系统。\n[0014] 本发明的有益效果在于：1.在现有的硬件基础上实现高性能的接入认证处理；2.根据应用性能需求现场定制分配合适的转发性能和接入认证性能；3、本发明提供一种多核并发处理的实例很容易扩展到其它需要高性能突出处理的应用。\n附图说明\n[0015] 图1是WLAN无线网络组网图；\n[0016] 图2是本发明一实施方式中一种无线认证处理系统的逻辑视图；\n[0017] 图3是无线认证处理系统的组网示意图；\n[0018] 图4是以Linux操作系统作为实例的均衡中继模块的结构框图；\n[0019] 图5是并发认证模块的状态转移图；\n[0020] 图6是本发明一实施方式中一种无线认证处理方法的执行流程图；\n[0021] 图7是负载均衡分流算法的实现流程图。\n[0022] 主要元件符号说明\n[0023] 无线认证处理系统100；均衡分流模块10；\n[0024] 均衡中继模块20；并发认证模块30。\n具体实施方式\n[0025] 为详细说明本发明的技术内容、构造特征、所实现目的及效果，以下结合实施方式并配合附图详予说明。\n[0026] 本发明提出了一种基于多核处理器的无线认证处理方法与系统。请参阅图1，是WLAN无线网络组网图。AP无线局域网中的主要设备包括无线控制器(AC)、无线接入点(AP)、无线终端(STA)、以及路由器设备(router)。\n[0027] 在瘦AP无线网络中，无线控制器设备(AC)需要管理大量的无线接入点(AP)以及无线终端设备(STA)。这些无线终端设备在特定时段集中上线，要求无线控制器设备(AC)具备较高的并发接入认证处理性能。在运营应用的无感知认证配置下，无线终端设备上线过程的处理主要包括下面几个阶段：\n[0028] 1、无线关联阶段：涉及的报文流程包括认证请求、认证响应、关联请求、关联响应，总共4个协议报文。\n[0029] 2、身份认证和密钥协商阶段：涉及的报文流程有无线控制器设备和无线终端设备之间的EAPoL协议报文，也有无线控制器设备和认证服务器设备之间的Radius协议报文，总共约50个协议报文。\n[0030] 3、IP地址获取阶段：包括DHCP discover、DHCP offer、DHCP request、DHCP ACK，总共4个协议报文。\n[0031] 从上面几个阶段的报文数量分析，整个无线终端并发上线过程主要消耗性能的是第二阶段，涉及总共约50个协议报文。针对无线终端并发上线过程的特征，本发明提出了一种无线认证处理方法及系统，以提高接入认证性能。\n[0032] 请参阅图2，是本发明一实施方式中一种无线认证处理系统的逻辑视图。一种无线认证处理系统100设计的总体思路是，为每个无线终端分配一个独立的认证线程n，其中，n属于1至N，该认证线程n固定运行在CPU内核n之上，所以不会涉及多线程之间无线终端相关信息的共享。每个CPU内核都有自己独立的L1缓存，为了高效利用L1缓存特性，设计了均衡中继模块20，包含N个报文缓存队列。其中均衡分流模块10在CPU内核N+1至M上运行，属于数据转发平面。\n[0033] 利用无线终端并发上线认证过程，特定无线终端个体之间信息的无关性以及多核处理器L1缓存特性，上面描述的系统和方法可以实现完全并行处理。另外可以根据具体管理控制面和数据转发面的性能要求，现场配置合理分配控管理制平面和数据转发平面的CPU内核数量的比例。\n[0034] 通过前面的介绍，知道无线控制器设备(AC)的并发认证处理性能要求非常高，上面也提出了利用无线终端上线认证个体之间的无关性以及多核处理器L1缓存特征实现高性能并行认证系统的总体思路。\n[0035] 下面主要基于总体思路针对本发明的无线认证处理系统及方法的实现方案进行说明，具体地，对方案涉及的均衡分流算法、系统中断和报文缓存队列、认证线程的共享数据等具体问题展开说明。\n[0036] 无线认证处理系统100包括均衡分流模块10、均衡中继模块20、并发认证模块30，其中，并发认证模块30占用CPU处理器内核1至内核N的计算资源，均衡分流模块10占用CPU处理器内核N+1至内核M的计算资源。所述均衡分流模块10用于当接收到无线终端或Radius认证服务器发送的认证报文后，对需要重定向到并发认证模块30的认证报文进行负载均衡分流算法的计算得到与认证报文相应的认证线程。所述均衡中继模块20用于将报文映射到均衡分流模块10所确定的认证线程。所述并发认证模块30用于处理相应的认证线程与Radius认证服务器进行交互以执行认证操作。\n[0037] 其中，所述无线认证处理系统100具体为运行在无线控制器设备(AC)的CPU处理器上的系统，整个系统分为管理控制平面和数据转发平面，管理控制面包括所述均衡中继模块20和并发认证模块30，数据转发面为所述均衡分流模块10。\n[0038] 请参阅图3，是无线认证处理系统的组网示意图。该组网包括Radius认证服务器、无线控制器设备以及与无线控制器设备通信连接的无线终端。无线控制器设备作为一个实际的Radius客户端存在，有独立的网元IP地址，有独立的Radius认证的key密钥信息。在无线控制器内部软件的管理控制平面根据用于这个平面的CPU内核数量设置1…N个认证线程，每个认证线程作为一个虚拟的Radius客户端存在。\n[0039] 无线控制器中的并发认证模块30既要考虑多个线程的完全并发处理，又要考虑各个线程之间的共享配置数据，因此并发认证模块30可以看成是多个虚拟的Radius客户端，它们共享IP地址和认证key信息，并对应同一个Radius认证服务器，只是客户端的UDP端口号不同。无线控制器的均衡中继模块20根据Radius客户端的UDP端口号来区分具体的认证线程。\n[0040] 请参阅图4，是以Linux操作系统作为实例的均衡中继模块的结构框图。均衡中继模块20可以看成由多个并发认证模块30的认证线程和Radius认证服务器之间的逻辑管道组成。每个逻辑管道衔接认证线程和均衡分流模块10，把特定的socket和特定的核间中断信息对应起来。如果系统是基于Linux操作系统的，那么均衡中继模块属于操作系统内核部分。\n[0041] 核间中断是指CPU处理器多核之间定义的事件通告机制，均衡分流模块10用于对需要重定向到并发认证模块30过程会产生一个核间中断。Softirq是指Linux内核的软中断机制，在此处特指由核间中断触发的高级中断处理程序。UDP端口X是指用于Radius客户端和Radius认证服务器之间的socket源端口，在软件实现过程可以事先设定具体的基本端口，后续端口号依次加1。缓存队列既用于均衡分流模块10发往认证线程的认证报文，也用于认证线程发往Radius认证服务器的认证报文。\n[0042] 所述负载均衡分流模块10包括第一判断单元、第一运算单元、第一确定单元、第二确定单元以及转发映射单元。\n[0043] 第一判断单元用于判断认证报文方向，当认证报文方向为上行方向时通知第一运算单元执行操作，当认证报文方向为下行方向时通知第二确定单元执行操作。其中，上行方向即为认证报文从认证线程发往Radius认证服务器的方向，下行方向即为认证报文从Radius认证服务器发往无线控制器设备(AC)认证线程的方向。\n[0044] 第一运算单元用于取出并发认证模块30的CPU内核数量N，并从认证报文中提取出无线终端的MAC地址的最后一个字节数值，然后使用这个自字节数值对N进行模运算得到结果数值j，所述结果数值j的数值范围是0至N-1。\n[0045] 第一确定单元用于确定数值j对应的认证线程为第j+1认证线程上，例如，将结果数值0映射到认证线程1、将结果数值1映射到认证线程2，如此类推，然后通知均衡转发映射单元执行操作。\n[0046] 第二确定单元用于提取报文UDP报头的目的UDP端口号，确定目的UDP端口号对应的认证线程，然后通知转发映射单元执行操作。\n[0047] 转发映射单元用于把报文转发到均衡中继模块并映射到对应的认证线程。\n[0048] 请参阅图5，是并发认证模块的状态转移图。并发认证模块30内部多个认证线程之间有少量的共享配置数据，比如认证的具体模式、WLAN的ssid、无线终端的MAC地址等信息。\n这些共享的配置数据有个共同的特点，就是在认证运行过程中是只读的。可以设置独立的配置线程以及全局的配置标志来实现整个模块的无锁运行，从而实现完全的并发认证。并发认证模块30在运行过程中有两个状态，分别是执行配置状态和执行认证状态。\n[0049] 因此，在本实施方式中，所述并发认证模块30具体包括配置单元和执行单元；所述配置单元用于执行配置状态，配置在执行认证操作过程中只读的共享配置数据；所述执行单元用于当所述配置单元配置结束后，执行认证状态，处理认证线程以执行认证操作。\n[0050] 请参阅图6，是本发明一实施方式中一种无线认证处理方法的执行流程图。该方法应用于上述一种无线认证处理系统中，该系统包括均衡分流模块，均衡中继模块以及并发认证模块，其中，并发认证模块占用CPU处理器内核1至内核N的计算资源，均衡分流模块占用CPU处理器内核N+1至内核M的计算资源，对于上述系统方案阐述的方案及原理均可沿用至下述方法阐述中。\n[0051] 该无线认证处理方法包括如下步骤：\n[0052] S101、当接收到无线终端或Radius认证服务器发送的认证报文后，均衡分流模块对需要重定向的认证报文进行负载均衡分流算法的计算得到与认证报文相应的认证线程；\n[0053] S102、均衡中继模块将报文加入所确定的认证线程线程；\n[0054] S103、并发认证模块处理相应的认证线程以执行认证操作。\n[0055] 其中，所述步骤S101前还包括步骤：\n[0056] 并发认证模块执行配置状态，配置在执行认证操作过程中只读的共享配置数据，所述共享配置数据包括认证的具体模式、WLAN的ssid、无线终端的MAC地址等信息。\n[0057] 请参阅图7，是负载均衡分流算法的实现流程图。所述负载均衡分流算法的实现流程具体包括：\n[0058] S1011、判断认证报文方向，当认证报文方向为上行方向时进入步骤S1012，当认证报文方向为下行方向时进入步骤S1014。\n[0059] S1012、取出并发认证模块30的CPU内核数量N，从认证报文中提取出无线终端的MAC地址的最后一个字节数值，然后使用这个数值对N进行模运算得到结果数值j，所述结果数值j的数值范围是0至N-1。\n[0060] S1013、确定数值j对应的认证线程为第j+1认证线程上，例如，将结果数值0映射到认证线程1、将结果数值1映射到认证线程2，如此类推，然后进入步骤S1015。\n[0061] S1014、均衡分流模块10提取报文UDP报头的目的UDP端口号，确定目的UDP端口号对应的认证线程，然后进入步骤S1015。\n[0062] S1015、把报文转发到均衡中继模块并映射到对应的认证线程。\n[0063] 本发明提供的一种无线控制器设备、无线认证处理方法、系统、组网，相较于现有技术具有以下特征及技术效果：\n[0064] 1.在现有的硬件基础上实现高性能的接入认证处理\n[0065] 本发明是基于现有的无线控制器硬件多核处理器基础上实现接入认证处理性能优化，无需更换硬件平台无需改动软件构架实现软件优化升级的无缝过度。当无线控制器软件的管理控制平面运行在单个CPU处理器内核之上时，整个认证流程和处理过程与没有优化之前完全一致，减少了实施实现过程软件升级调试的风险。\n[0066] 2.根据应用性能需求现场定制分配合适的转发性能和接入认证性能[0067] 本发明根据接入认证应用突发性能的需求现场定制和均衡分配合适的转发性能和接入认证性能的比例。比如一个单核运行管理控制面接入认证的突发性能是100用户每秒，那么在需要600用户每秒的突发认证性能的应用环境就可以配置6个CPU内核运行管理控制平面。\n[0068] 3.本发明提供一种多核并发处理的实例很容易扩展到其它需要高性能突出处理的应用\n[0069] 本发明是一种宏观的基于系统上实行的性能优化方法。它与具体应用内部优化方法可以同时使用共同生效。除了接入认证应用之外，其它的网络协议以及服务处理应用可以很容易移植使用本发明文档描述的方法。\n[0070] 以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。