基于用户设备IP地址反向划分归属VLAN的通信方法与流程

基于用户设备ip地址反向划分归属vlan的通信方法
技术领域
1.本发明属于数据通信技术领域，具体涉及一种基于用户设备ip地址反向划分归属vlan的通信方法。


背景技术：

2.目前园区和城域网存在大量使用通过接入交换机、路由器，以及无线ac ap 等方式铺设的无线wifi接入网络。因为wifi是使用免费频段的无线接入技术，可以广泛地应用于私有无线网络的铺设和覆盖。
3.用户设备ue接入ip网络的过程包括物理层协商、链路层协商和ip地址获取等步骤。
4.其中，物理层协商：指用户设备ue的物理层接入以及物理层传输速率的确定过程。如有线网络的以太网线接入，到链路协商为指定速率网络，如百兆以太网或千兆以太网。又比如wifi网络接入，到确定wifi网络所遵循的wifi标准版本，如wifi5、wifi6
5.链路层协商：指用户设备ue接入数据转发设备后，互相发现对方二层转发地址的过程。在有线以太网中，一般指mac地址互相发现过程；在wifi接入过程中，还包含用户设备ue协商无线加密过程，一直到完整接入wifi网络。在该过程完成后，已经确定用户设备ue所归属的虚拟局域网vla n。
6.ip地址获取：指用户设备ue获取ip地址的过程。一般情况下，使用dhcp 服务器对ip地址进行自动分配，也可以通过用户手动指定。
7.在上述用户设备ue接入网络的过程中，在链路层协商过程中已经确定用户设备ue所归属的vlan。此种方式具有以下问题：大型园区wifi网络很容易出现网络过大，广播流量过多的现象。
8.为避免广播流量过多，wifi网络可以通过ac对ap进行分组，对应不同的物理区域，并配置不同的vlan。该方案可以有效的解决广播流量过多问题，但用户移动到不同的网络区域，将会在多个vlan中切换，这意味着用户的移动设备需要在新的vlan内重新执行ip地址获取过程。但为了方便用户记忆接入ssid 或密码，园区网络一般要求wifi接入配置相同。因此移动设备漫游时无法识别网络边界，无法主动重新发起ip地址获取过程。因此在区域间漫游后，移动设备将无法上网。除非用户手动断开wifi网络并重新接入，触发ip地址的重新获取。
9.为解决用户漫游问题，出现了无线vlan池接入技术。ac可以为wifi网络配置多个vlan。用户接入wifi网络后，随机将用户加入某一个vlan，并在用户活跃时间内保证用户始终在同一vlan内。该方案可以解决用户跨区域漫游问题，并且用户会平均分配到多个vlan中，保证每个vlan都不会存在过多用户。但vlan和ip地址也常被应用于其他业务特征，比如园区希望不同部门或楼层的用户可以进入固定的vlan，并通过vlan标记来区分用户获取不同的网络访问权限。vlan池方案无法保证用户进入同一个vlan中，不利于园区网的安全访问管理。
10.在此基础上，部分使用802.1x认证或mac认证方案的wifi网络将用户使用的vlan信息携带在认证成功消息中。用户接入wifi网络时需要集中进行认证，并在认证通过后得到认证结果分配的vlan。该方案可以解决用户vlan改变和漫游的问题，但需要收集所有用户的mac地址或为所有用户注册认证账号，维护成本高。


技术实现要素：

11.针对现有技术存在的缺陷，本发明提供一种基于用户设备ip地址反向划分归属vlan的通信方法，可有效解决上述问题。
12.本发明采用的技术方案如下：
13.本发明提供一种基于用户设备ip地址反向划分归属vlan的通信方法，包括以下步骤：
14.步骤1，配置流程：
15.步骤1.1，无线控制器ac连接多个无线接入点ap；每个无线接入点ap具有相应的ap覆盖范围，在该ap覆盖范围提供无线wifi网络；
16.无线控制器ac将提供的业务网络划分为多个业务vlan，每个业务vlan 具有业务vlan标识；无线控制器ac配置每个业务vlan对应的ip地址段，由此形成ip地址段-业务vlan的映射关系表；
17.无线控制器ac创建与每个无线接入点ap对应的默认vlan，每个默认 vlan具有默认vlan标识，由此形成无线接入点ap和默认vlan的映射关系表；
18.步骤1.2，无线控制器ac向每个无线接入点ap下发vlan标识表，其中，所述vlan标识表存储所有vlan的vlan标识，包括：业务vlan标识和默认 vlan标识；
19.步骤1.3，无线接入点ap存储接收到的所述vlan标识表；
20.步骤2，用户设备ue接入无线wifi，建立二层wifil连接流程：
21.步骤2.1，初始时，用户设备ue未配置ip地址，此时，ip地址为默认值0；
22.步骤2.2，用户设备ue搜索附近区域的无线接入点ap，获得无线接入点ap 列表；根据无线接入点ap列表，选择优先级最高的无线接入点ap，表示为无线接入点ap(best)，用户设备ue向无线接入点ap(best)发送连接请求，该连接请求携带有用户设备ue标识和ip地址；
23.步骤2.3，无线接入点ap(best)将该连接请求转发给无线控制器ac；
24.步骤2.4，无线控制器ac对该连接请求进行解析，得到该用户设备ue的ip 地址为默认值0，因此，根据网络接入策略，查找无线接入点ap和默认vlan的映射关系表，获得与无线接入点ap(best)对应的默认vlan，表示为默认vlan (default)，并将所述默认vlan(default)的标识下发给无线接入点ap(best)；
25.步骤2.5，无线接入点ap(best)建立第一记录表，将用户设备ue和默认 vlan(default)的匹配关系增加到第一记录表，并将该用户设备ue加入到默认 vlan(default)，由此实现用户设备ue接入无线wifi网络；
26.步骤3，划分流程：
27.步骤3.1，在用户设备ue和无线接入点ap(best)建立无线wifi连接，并通过默认vlan(default)进行受限的上网连接服务后，用户设备ue在无线wifi网络中发送数据报文；
所述数据报文包括非ip报文和ip报文；
28.步骤3.2，无线接入点ap(best)本地建立用户设备ue标识、源ip地址和归属的业务vlan标识的第二记录表；所述第二记录表用于记录该无线接入点ap(best)覆盖范围内，各个用户设备ue的源ip地址，以及各个用户设备ue已加入的业务vlan的映射关系；
29.无线接入点ap(best)捕捉其覆盖范围内的各个用户设备ue的所有ip报文，从捕捉到的每个所述ip报文中提取出源ip地址和用户设备ue标识；其中，源ip地址为用户设备ue的ip地址；
30.对于某条ip报文，假设提取到用户设备ue标识为用户设备ue标识(ueid)，无线接入点ap(best)查找第二记录表，首先判断当前捕捉到的用户设备ue标识 (ueid)是否存在于第二记录表中，如果不存在，表明该用户设备ue为新进入无线接入点ap(best)覆盖范围内的用户设备ue，则执行步骤3.3；如果存在，则执行步骤3.4；
31.步骤3.3，新加入的用户设备ue处理流程：
32.步骤3.3.1，无线接入点ap(best)将用户设备ue标识(ueid)和源ip地址上报给无线控制器ac；
33.步骤3.3.2，无线控制器ac查找用户设备网络归属表，所述用户设备网络归属表用于存储用户设备ue和业务vlan的匹配关系，判断该用户设备网络归属表中，是否存在与当前的用户设备ue标识(ueid)对应的业务vlan，如果存在，执行步骤3.3.3；如果不存在，执行步骤3.3.4；
34.步骤3.3.3，当存在时，表明当前的用户设备ue已被划分到对应的一个业务 vlan，该用户设备ue为漫游到当前无线接入点ap(best)覆盖范围的用户设备，因此，无线控制器ac向无线接入点ap(best)下发业务vlan维持不变的通知消息，该通知消息中携带有匹配到的业务vlan标识；
35.无线接入点ap(best)将用户设备ue标识(ueid)、源ip地址以及无线控制器 ac下发的业务vlan标识，加入到第二记录表，实现对第二记录表的更新，使用户设备ue仍然保持在原来所划分到的业务vlan中通信；
36.步骤3.3.4，当不存在时，表明当前的用户设备ue仍然归属于默认vlan，无线控制器ac查找ip地址段-业务vlan的映射关系表，判断用户设备ue的源ip 地址是否与ip地址段-业务vlan的映射关系表中的某个ip地址段匹配，如果匹配失败，则向无线接入点ap(best)下发默认vlan维持不变的通知消息；无线接入点ap(best)接收到该通知消息时，不进行任何操作，使用户设备ue仍然维持在默认vlan中；
37.如果匹配成功，将匹配到的业务vlan下发给无线接入点ap(best)；无线接入点ap(best)将用户设备ue标识(ueid)、源ip地址以及无线控制器ac下发的业务vlan标识，加入到第二记录表，实现对第二记录表的更新，同时，将用户设备ue加入到无线控制器ac下发的业务vlan中，由此实现用户设备ue接入对应的业务vlan中；
38.步骤3.4，已加入的用户设备ue处理流程：
39.步骤3.4.1，无线接入点ap(best)进一步判断该用户设备ue的源ip地址，是否与第一记录表中记录的源ip地址相同，如果相同，表明该用户设备ue的源ip地址没有发生变化，因此，不进行任何操作，使用户设备ue仍然保持在原来所划分到的业务vlan中通信；如果不相同，执行步骤3.4.2；
40.步骤3.4.2，无线接入点ap(best)将用户设备ue标识(ueid)和源ip地址，上报给无线控制器ac；
41.步骤3.4.3，无线控制器ac查找ip地址段-业务vlan的映射关系表，判断用户设备ue的源ip地址是否与ip地址段-业务vlan的映射关系表中的某个ip地址段匹配，如果匹配失败，则向无线接入点ap(best)发送使用户设备ue划分到默认 vlan的通知消息，无线接入点ap(best)更新第二记录表，并将用户设备ue加入到默认vlan；
42.如果匹配成功，将匹配到的业务vlan下发给无线接入点ap(best)；无线接入点ap(best)更新第二记录表，并将用户设备ue加入到无线控制器ac下发的业务vlan中。
43.优选的，用户设备ue标识为用户设备ue的mac地址。
44.优选的，在配置ip地址段-业务vlan的映射关系表时，不同的业务vlan具有不同的网络访问权限。
45.优选的，用户设备ue的源ip地址，为静态ip地址。
46.本发明提供的基于用户设备ip地址反向划分归属vlan的通信方法具有以下优点：
47.本发明提供一种选择用户设备ue所归属vlan的方法，既能够避免无线用户设备ue在园区不同区域移动时，ip频繁改变导致网络环境变化，同时能够提供给用户设备ue固定的vlan标记，用于区分网络访问权限。
附图说明
48.图1为本发明提供的基于用户设备ip地址反向划分归属vlan的通信方法的流程示意图。
具体实施方式
49.为了使本发明所解决的技术问题、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
50.本发明提供一种根据用户设备ue配置的静态ip地址选择用户设备ue所归属vlan的方法，涉及到tcp/ip二层、三层网络技术，具体是一种利用用户设备ue三层网络地址，反向划归二层网络vlan归属的技术，本发明可以避免无线用户设备ue在园区不同区域移动时，ip地址频繁改变导致网络环境变化的问题。
51.下面首先对本发明涉及到的关键词进行解释：
52.tcp/ip网络：基于以太网交换技术(ieee802.3)的tcp/ip网络是一种广泛应用在园区网和城域网的网络交换技术。这种网络技术使用以太网交换技术标准作为二层网络标准，使用tcp/ip协议标准作为三层网络标准。为有效的处理数据通信，tcp/ip网络定义了广播数据的传输标准用于探测其他主机的存在，以及单播数据传输标准用于常规数据的传输。在该网络中，一般使用二层交换机和以太网线为用户主机提供网络的物理层接入，使用三层交换机和路由器处理用户数据的转发。
53.vlan:随着tcp/ip网络的发展，网络的规模变的逐渐庞大，网络中存在的主机数量日益增多，导致广播数据规模越发增大，占用过多的网络传输资源。为解决网络过大的问题出现了ieee802.1q vlan划分标准。该技术通过将主机划分到不同vlan中，不同的vlan不共
享广播数据的方式，避免过多主机工作在同一广播域中。在相同vlan中的主机可以通过广播通信直接通信，而跨 vlan的数据则需要三层交换机或路由器进行数据转发。此外，各种安全策略，访问控制策略等功能也可以基于vlan在交换机、路由器设备上实现。
54.一般情况下，主机划归到哪个vlan取决于接入交换机如何管理。一般来说，基于交换机接口划分、基于主机mac地址划分、基于ip子网划分几种方式。
55.wifi：wifi是一种创建于ieee 802.11标准的无线局域网技术。随着无线技术的发展，wifi作为一种无线接入层技术被广泛用于园区内移动办公场景。笔记本和工作终端通过wifi无线信号接入无线控制器及业务网络，并根据无线业务配置进入指定vlan。在这一环节中，wifi作为一种无线接入技术，避免用户必须使用网线连接接入交换机的过程。
56.无线控制器(ac)：大型wifi网络使用大量的wifi接入设备。为集中管理 wifi接入设备而出现了ac ap架构的无线设备管理方案。其中无线控制器(ac) 自身并不发射wifi信号，而是用于管理大型wifi网络中的所有无线接入点(ap)。
57.无线接入点(ap)：为满足大型区域的无线网络部署需求，需要大量无线信号发射设备。无线接入点(ap)是一种专门提供wifi接入信号的无线接入设备。
58.本发明提供一种选择用户设备ue所归属vlan的方法，既能够避免无线用户设备ue在园区不同区域移动时，ip频繁改变导致网络环境变化，同时能够提供给用户设备ue固定的vlan标记，用于区分网络访问权限。
59.参考图1，本发明提供一种基于用户设备ip地址反向划分归属vlan的通信方法，包括以下步骤：
60.步骤1，配置流程：
61.步骤1.1，无线控制器ac连接多个无线接入点ap；每个无线接入点ap具有相应的ap覆盖范围，在该ap覆盖范围提供无线wifi网络；
62.无线控制器ac将提供的业务网络划分为多个业务vlan，每个业务vlan 具有业务vlan标识；无线控制器ac配置每个业务vlan对应的ip地址段，由此形成ip地址段-业务vlan的映射关系表；
63.无线控制器ac创建与每个无线接入点ap对应的默认vlan，每个默认 vlan具有默认vlan标识，由此形成无线接入点ap和默认vlan的映射关系表；
64.步骤1.2，无线控制器ac向每个无线接入点ap下发vlan标识表，其中，所述vlan标识表存储所有vlan的vlan标识，包括：业务vlan标识和默认 vlan标识；
65.步骤1.3，无线接入点ap存储接收到的所述vlan标识表；
66.步骤2，用户设备ue接入无线wifi，建立二层wifil连接流程：
67.步骤2.1，初始时，用户设备ue未配置ip地址，此时，ip地址为默认值0；
68.步骤2.2，用户设备ue搜索附近区域的无线接入点ap，获得无线接入点ap 列表；根据无线接入点ap列表，选择优先级最高的无线接入点ap，表示为无线接入点ap(best)，用户设备ue向无线接入点ap(best)发送连接请求，该连接请求携带有用户设备ue标识和ip地址；
69.步骤2.3，无线接入点ap(best)将该连接请求转发给无线控制器ac；
70.步骤2.4，无线控制器ac对该连接请求进行解析，得到该用户设备ue的ip 地址为默认值0，因此，根据网络接入策略，查找无线接入点ap和默认vlan的映射关系表，获得与无
线接入点ap(best)对应的默认vlan，表示为默认vlan (default)，并将所述默认vlan(default)的标识下发给无线接入点ap(best)；
71.步骤2.5，无线接入点ap(best)建立第一记录表，将用户设备ue和默认 vlan(default)的匹配关系增加到第一记录表，并将该用户设备ue加入到默认 vlan(default)，由此实现用户设备ue接入无线wifi网络；
72.步骤3，划分流程：
73.本发明中，对于用户设备ue，只有首先通过步骤2接入无线wifi后，才会进行步骤3的划分流程。
74.划分流程主要场景为三种：
75.第一种，ac初次为用户设备ue分配业务vlan
76.用户设备ue在刚刚进行完步骤2的接入流程后，用户设备ue处于ap1的覆盖范围，用户设备ue发送ip报文，ap1捕捉到ip报文，并将ip报文上报给ac。 ac通过查找ip地址段-业务vlan的映射关系表，得到匹配的业务vlan，并下发给ap1，从而使ap1将用户设备ue划分到对应的业务vlan。然后，ap1记录用户设备ue的标识、ip地址以及业务vlan的对应关系表。
77.第二种，对于已分配过业务vlan的用户设备ue，仍然处于ap1的覆盖范围
78.此种情况，在用户设备ue的ip地址没有变化时，其仍然持续发送ip报文； ap1捕捉到ip报文，通过对ip报文分析，得到用户设备ue的ip地址，并通过本地对应关系表的查找，得知用户设备ue的ip地址没有发生变化，因此，ap1不进行任何操作，使用户设备ue仍然维持在原业务vlan中不发生变化。
79.此种情况，在用户设备ue的ip地址发生变化时，其仍然持续发送ip报文； ap1捕捉到ip报文，通过对ip报文分析，得到用户设备ue的ip地址，并通过本地对应关系表的查找，得知用户设备ue的ip地址发生变化。因此，ap1向ac上报用户设备ue的ip地址，使ac重新匹配到新的业务vlan，如果匹配不到，则划分到默认vlan。ac将匹配结果下发到ap。
80.第三种，对于已分配过业务vlan的用户设备ue，从ap1的覆盖范围漫游到 ap2的覆盖范围
81.当用户设备ue漫游到ap2的覆盖范围时，用户设备ue发送ip报文，ap2捕捉到ip报文，得到用户设备ue的标识和ip地址；ap2查找本地对应关系表，可知用户设备ue为新漫游到本区域的设备，因此，ap2向ac上报用户设备ue的ip 地址和用户设备ue的标识。ac查找用户设备网络归属表，得到匹配的业务 vlan，再查找ip地址段-业务vlan的映射关系表，得到与ip地址匹配的业务 vlan，如果二者一致，表明用户设备ue的ip地址没有发生变化，不需要变更业务vlan，因此，将业务vlan的标识以及不变更业务vlan的通知下发到 ap2，ap2仅更新本地对应关系表，不对用户设备ue的业务vlan进行变更操作。此种情况，用户设备ue虽然从ap1的覆盖范围漫游到ap2的覆盖范围，但是，由于其ip地址没有发生变化，因此，仍然保留在原来的业务vlan中。
82.如果二者不一致，表明用户设备ue的ip地址发生变化，因此，将通过ip地址段-业务vlan的映射关系表得到的业务vlan以及变更业务vlan的通知下发到ap2，同时，ac更新用户设备网络归属表。对于ap,更新本地对应关系表，对用户设备ue的业务vlan进行变更操作。此种情况，用户设备ue从ap1的覆盖范围漫游到ap2的覆盖范围，但是，由于其ip地址发生变化，因此，需要更新业务vlan。
83.具体的划分流程包括以下步骤：
84.步骤3.1，在用户设备ue和无线接入点ap(best)建立无线wifi连接，并通过默认vlan(default)进行受限的上网连接服务后，用户设备ue在无线wifi网络中发送数据报文；所述数据报文包括非ip报文和ip报文；
85.步骤3.2，无线接入点ap(best)本地建立用户设备ue标识、源ip地址和归属的业务vlan标识的第二记录表；所述第二记录表用于记录该无线接入点 ap(best)覆盖范围内，各个用户设备ue的源ip地址，以及各个用户设备ue已加入的业务vlan的映射关系；
86.无线接入点ap(best)捕捉其覆盖范围内的各个用户设备ue的所有ip报文，从捕捉到的每个所述ip报文中提取出源ip地址和用户设备ue标识；其中，源ip地址为用户设备ue的ip地址；
87.对于某条ip报文，假设提取到用户设备ue标识为用户设备ue标识(ueid)，无线接入点ap(best)查找第二记录表，首先判断当前捕捉到的用户设备ue标识 (ueid)是否存在于第二记录表中，如果不存在，表明该用户设备ue为新进入无线接入点ap(best)覆盖范围内的用户设备ue，则执行步骤3.3；如果存在，则执行步骤3.4；
88.步骤3.3，新加入的用户设备ue处理流程：
89.步骤3.3.1，无线接入点ap(best)将用户设备ue标识(ueid)和源ip地址上报给无线控制器ac；
90.步骤3.3.2，无线控制器ac查找用户设备网络归属表，所述用户设备网络归属表用于存储用户设备ue和业务vlan的匹配关系，判断该用户设备网络归属表中，是否存在与当前的用户设备ue标识(ueid)对应的业务vlan，如果存在，执行步骤3.3.3；如果不存在，执行步骤3.3.4；
91.步骤3.3.3，当存在时，表明当前的用户设备ue已被划分到对应的一个业务 vlan，该用户设备ue为漫游到当前无线接入点ap(best)覆盖范围的用户设备，因此，无线控制器ac向无线接入点ap(best)下发业务vlan维持不变的通知消息，该通知消息中携带有匹配到的业务vlan标识；
92.无线接入点ap(best)将用户设备ue标识(ueid)、源ip地址以及无线控制器 ac下发的业务vlan标识，加入到第二记录表，实现对第二记录表的更新，使用户设备ue仍然保持在原来所划分到的业务vlan中通信；
93.步骤3.3.4，当不存在时，表明当前的用户设备ue仍然归属于默认vlan，无线控制器ac查找ip地址段-业务vlan的映射关系表，判断用户设备ue的源ip 地址是否与ip地址段-业务vlan的映射关系表中的某个ip地址段匹配，如果匹配失败，则向无线接入点ap(best)下发默认vlan维持不变的通知消息；无线接入点ap(best)接收到该通知消息时，不进行任何操作，使用户设备ue仍然维持在默认vlan中；
94.如果匹配成功，将匹配到的业务vlan下发给无线接入点ap(best)；无线接入点ap(best)将用户设备ue标识(ueid)、源ip地址以及无线控制器ac下发的业务vlan标识，加入到第二记录表，实现对第二记录表的更新，同时，将用户设备ue加入到无线控制器ac下发的业务vlan中，由此实现用户设备ue接入对应的业务vlan中；
95.步骤3.4，已加入的用户设备ue处理流程：
96.步骤3.4.1，无线接入点ap(best)进一步判断该用户设备ue的源ip地址，是否与第
一记录表中记录的源ip地址相同，如果相同，表明该用户设备ue的源ip地址没有发生变化，因此，不进行任何操作，使用户设备ue仍然保持在原来所划分到的业务vlan中通信；如果不相同，执行步骤3.4.2；
97.步骤3.4.2，无线接入点ap(best)将用户设备ue标识(ueid)和源ip地址，上报给无线控制器ac；
98.步骤3.4.3，无线控制器ac查找ip地址段-业务vlan的映射关系表，判断用户设备ue的源ip地址是否与ip地址段-业务vlan的映射关系表中的某个ip地址段匹配，如果匹配失败，则向无线接入点ap(best)发送使用户设备ue划分到默认 vlan的通知消息，无线接入点ap(best)更新第二记录表，并将用户设备ue加入到默认vlan；
99.如果匹配成功，将匹配到的业务vlan下发给无线接入点ap(best)；无线接入点ap(best)更新第二记录表，并将用户设备ue加入到无线控制器ac下发的业务vlan中。
100.本发明中，用户设备ue标识可以为用户设备ue的mac地址。
101.本发明中，在配置ip地址段-业务vlan的映射关系表时，不同的业务vlan 具有不同的网络访问权限。并且，用户设备ue的源ip地址，为静态ip地址。
102.下面介绍一种具体实施例：
103.本发明提供一种根据用户设备ue使用的ip地址划分用户设备ue归属vlan 的方法，该方法主要设计思想是预先定义ip地址与vlan的关系，并通过用户手动配置ip的方式，实现匹配vlan。
104.本发明主要依靠预先对ip地址及vlan进行分配管理并将相关信息下发到网络管理设备中，从而实现用户根据设备ip划分归属vlan。参考流程图可见该方案的实施工作主要在无线wifi业务的配置过程以及用户接入wifi网络的接入过程中。其主要工作流程可划分为配置流程、接入流程、划分流程。
105.步骤1：配置流程:
106.配置流程为wifi网络的基本部署流程。
107.步骤1.1：无线控制器ac在部署无线服务时，能够以ip子网为单位，配置不同ip进入不同业务vlan的规则，并在该基础上部署无线wifi网络。
108.具体的，无线控制器ac需要支持配置ip地址段与业务vlan的对应关系，并在下发wifi业务后保存该关系在业务运行时不允许更改，以用于wifi业务中实时判断用户设备ue所应归属的业务vlan。
109.步骤1.2：无线控制器ac为无线网络配置默认vlan，用于容纳没有正确配置ip地址的用户设备ue获取受限的网络服务。
110.步骤2：接入流程：
111.指用户设备ue接入wifi网络的过程，与普通接入wifi网络过程的主要区别在于：用户需要手动设置用户设备ue的静态ip地址，再次接入时直接使用上次手动配置保存的ip地址。
112.用户手动在用户设备ue上按需求配置ip地址，该地址一般由网络管理员指派。
113.步骤3：划分流程：
114.该流程是本方法特有的流程。一般的wifi网络接入流程完毕后，用户设备 ue进入wifi网络指定vlan即可进行上网业务。在本发明方法中，用户设备ue 接入wifi网络流程完
毕后，需要额外对数据业务所使用ip地址进行判断：如果用户设备ueip地址匹配vlan划分规则，则动态修改用户所在vlan，否则用户停留在wifi网络默认vlan中。网络管理者可在默认vlan通过portal或acl等业务通知用户设备ue当前停留在业务受限vlan中(可选)。
115.对于已经配置vlan划分规则的无线网络服务，用户设备ue接入网络后进行划分流程时将会有以下过程
116.步骤1-a：当用户设备ue接入wifi且没有设置ip时，用户进入不可上网的默认vlan。
117.步骤1-b：当用户设备ue接入wifi并且用户设备ue已经配置ip地址，则在连接wifi后自动发送携带有源ip的ip报文给无线接入点ap。无线接入点ap在接收到ip报文后，将该ip地址上报给ac
118.步骤2：ac在接收到ip地址报文后，对ip地址进行解析匹配。
119.如源ip 10.110.2.100，转换成对应的二进制地址如下
120.00001010 01101110 00000010 01100100
121.根据已配置ip匹配规则ip-based 10.110.2.1/24vlan 2，表示ip在子网 10.110.2.1/24内的ip地址用户会被划分到vlan2。10.110.2.1转换成对应二进制地址如下00001010 01101110 00000010 00000001
122.对比源ip 10.110.2.100，其前24位网络号均为00001010 01101110 00000010，即网络号相同。因此ac下发用户设备ue划分到vlan2的通知到ap
123.步骤3：ap接收到用户设备ue划分vlan通知后，修改用户设备ue所在 vlan，将用户设备ue划分到vlan2，用户设备ue可以在vlan2内进行正常的网络通信业务
124.如上述的vlan划分规则可以同时支持多条，用于将不同用户设备ue加入不同vlan。
125.完成划分流程后，用户设备ue即可进入预期所划归的vlan获取网络服务。除此之外，用户设备ue在持续使用网络服务的过程中，有可能发生漫游，或是手动修改ip地址的情况。因此划分流程实际上在整个用户连接网络的时间内都是持续进行的。在业务过程中，ac会随时收到用户漫游事件或用户ip地址更改事件。对于随时可能发生的事件，ac遵从以下处理原则：
126.用户设备ue接入时，ap预存储已接入用户设备的用户设备ue标识、源ip 地址和归属的业务vlan标识的第二记录表；ap判断当前用户设备ue的ip地址是否与第二记录表中的源ip地址相同，如果相同，则不进行任何操作。如果不相同，表明用户设备ue发生漫游事件或ip地址更改事件，ap将用户设备ue标识和源ip地址，上报给无线控制器ac；
127.ac匹配上报的ip地址和ip地址段-业务vlan的映射关系表，如果匹配失败，则向无线接入点ap下发新的匹配结果；如果匹配成功，表明用户设备ue已经匹配过vlan，并且进行了wifi漫游。此时应直接将上次匹配结果通知给ap，加速vlan划分速度。
128.下面再介绍一个实施例：
129.步骤1：无线控制器ac在部署无线服务时，以ip子网为单位，配置不同ip进入不同业务vlan的规则，并在该基础上部署无线wifi网络。
130.步骤2：无线控制器ac为无线网络配置默认vlan，用于容纳没有正确配置 ip地址的用户设备ue获取受限的网络服务。
131.步骤3：用户手动在用户设备ue按需求配置ip地址，该地址一般由网络管理员指派。
132.步骤4：用户设备ue接入无线wifi信号，根据配置的ip进入指定vlan。
133.步骤4进一步包括以下处理步骤：
134.4-1.在用户设备ue归属vlan确定前，ap需要对用户设备ue的数据报文进行区分，对于非ip报文、源ip为0的报文等，作直接转发处理。
135.4-2.对于ip报文，ap对其进行分析，并提取ip报文的源ip通知给ac进行 vlan匹配。
136.4-3.ac接收ap上报的源ip，并根据已有的ip-vlan匹配规则进行二进制匹配。如果匹配成功，则下发用户vlan变更通知给ap，同时本地保存该匹配记录。
137.4-4.如果ac未匹配到任何vlan规则，不通知ap。
138.4-5.ap收到用户vlan变更通知后，更改用户所属vlan。否则用户停留在默认vlan中。
139.步骤5：用户在网络中移动，进入到不同覆盖区域时，因指定ip地址相同，不会进入到其他vlan。
140.步骤5进一步包括以下处理步骤：
141.5-1.当用户设备ue成功获得归属vlan，并处于移动业务中，进入到新ap 覆盖范围时(wifi漫游)，ac接收到用户漫游通知，并在本地查询用户设备 uevlan匹配记录。如果查询到vlan匹配记录，则根据匹配记录通知新ap用户设备ue归属vlan。
142.5-2.新ap获取用户设备ue归属vlan后，仍会持续解析用户报文，并获取用户源ip，通知给ac。
143.5-3.ac接收ap上报的用户设备ueip地址上报通知后进行匹配，命中相同的匹配结果，不进行通知并刷新匹配记录。
144.步骤6：用户设备ue修改ip地址，将会根据新配置的ip地址进入新vlan。
145.步骤6进一步包括以下处理步骤
146.6-1.ap持续解析用户设备ue的ip报文，并将用户修改过的ip地址通知给ac。
147.6-2.ac接收ap上报的用户设备ue的ip地址，并根据已有的ip-vlan匹配规则进行二进制匹配。如果匹配成功则下发用户vlan变更通知给ap，同时本地保存该匹配记录。
148.6-3.如果ac未匹配到任何vlan规则，则通知ap删除用户归属vlan信息，并删除本地保存的匹配记录。
149.对于传统的网络vlan划分方法，一般思路是在接入过程中通过某种不可变的接入资源划分vlan。如有线网络根据交换机的eth接口ip划分vlan，或根据用户mac地址划分vlan，根据用户认证账号划分vlan。一般而言ip地址在传统ip网络中由dhcp服务器动态分配给用户，不需要用户手动配置。
150.本发明对该思路进行了逆向，将ip地址的管理交由网络管理人员，由用户自助配置ip地址，并据此分配用户vlan。
151.需要根据vlan设计访问权限管理的网络，一般来说具有较强的信息安全性需求。因此固定设备ip也经常被适用于此类网络。因此该方案可以很好的契合有固定ip分配，并严格限制访问权限的大型网络。
152.本发明提供一种根据用户使用的ip地址划分用户归属vlan的方法。该方法主要设计思想是预先定义ip地址与vlan的关系，并通过用户手动配置ip的方式匹配vlan划分规则。
153.与现有技术相比，本发明的有益效果是
154.1、相较于传统的按区域划分无线vlan方案，本发明中，用户设备ue在不同覆盖区域移动时，vlan和ip不会因漫游而产生变化。
155.2、相较于传统的无线vlan池解决方案，本发明方案中，用户设备ue将持续具有相同的业务vlan id，因此可以通过vlan对用户进行访问限制。且用户设备ue可通过更改本地ip地址进入不同业务vlan，获取不同权限的业务，无需针对用户设备ue增加访问限制规则。
156.3、相较于传统的按mac地址分配vlan或通过802.1x认证分配vlan方案，本发明方案不需要收集用户设备ue的mac地址或注册用户认证账号，新增用户时也不需要额外增加mac地址与vlan对应关系的维护配置。
157.以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视本发明的保护范围。