一种基于wifi6的双系统无线交换机
技术领域:
:1.本发明涉及交换机
技术领域:
:,特别涉及一种基于wifi6的双系统无线交换机。
背景技术:
::2.交换机(switch)意为“开关”是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。现在常见的交换机是以太网交换机、电话语音交换机、光纤交换机和软交换等。交换机通过直通式、存储转发和碎片隔离三种方式进行交换。3.目前市场上的交换机和其他交换机对接,都需要通过网线(双绞线)和rj45接头,或光纤线和光模块,来实现两台交换机之间的通信。而在稍大规模的企业、小区、学校、商场等场合,都需要多台交换机串联部署才能完全整个网络需求。所以在楼层楼道建设初期就要规划好网络,提前嵌入网线或光纤线到建筑实体中。如果建设完好的楼宇,由于前期网络部署不周,或后续需要扩容网络终端设备,需要增加交换机和终端,再去改造楼层之间的网线布线,难度很大,且影响楼宇整体美观。另外在工地等临时办公,或布线不方便的领域,目前市面上的交换机互联方式不太方便,且灵活性不强。目前交换机本地管理需要用电脑通过网线接入网络,或用串口线接入交换机进行管理,安全性不高,管理也不是很方便;也未使用最新的wifi6通信技术,且交换芯片和基带信号处理芯片共用中央处理器cpu和内存器,存在转发性能较弱、硬件设计灵活性不强,软件开发复杂、稳定性较差的缺陷,且传统wifi接入是通过服务设置标识(servicesetidentifier,ssid)单向认证接入,无法知道用户类型,安全性差,容易被攻击。技术实现要素:4.本发明提供了一种基于wifi6的双系统无线交换机,其目的是为了通过构建双系统提高无线交换机系统的稳定性。5.为了达到上述目的,本发明提供了一种基于wifi6的双系统无线交换机,包括:6.路由系统和交换系统;7.路由系统包括无线路由处理芯片、基带处理芯片、信号调制解调单元、功率放大单元、wifi天线、第一固态存储器和第一动态存储器;8.交换系统包括交换芯片、物理接口收发芯片、片上系统第二固态存储器和第二动态存储器;9.无线路由处理芯片的第二数据传输端、第三数据传输端分别与基带信号处理芯片的第一数据传输端、第二数据传输端连接,基带信号处理芯片的第三数据传输端分别与信号调制解调单元的第一数据传输端、功率放大单元的第一数据传输端连接,信号调制解调单元的第二数据传输端、功率放大单元的第二数据传输端均与wifi天线连接,第一固态存储器的数据传输端与第一动态存储器的数据传输端连接并接入无线路由处理芯片的第四数据传输端和片上系统的第二数据传输端;10.物理接口收发芯片的第一数据传输端与交换芯片的第一数据传输端连接,物理接口收发芯片的第二数据传输端与无线路由处理芯片的第一数据传输端连接,交换芯片的第二数据传输端与片上系统的第一数据传输端连接,片上系统的第二数据传输端与无线路由处理芯片的第四数据传输端连接,第二固态存储器的数据传输端与片上系统的第三数据传输端连接,第二动态存储器的数据传输端与片上系统的第四数据传输端连接。11.进一步来说,交换系统还包括:物理层接口芯片;12.物理层接口芯片的第一数据传输端与交换芯片的第三数据传输端连接,物理层接口芯片的第二数据传输端与网口连接。13.进一步来说,交换系统还包括:poe单元和变压器;14.poe单元的第一数据传输端与物理层接口芯片的第二数据传输端连接,poe单元的第二数据传输端与网口连接;15.变压器的数据传输端与物理层接口芯片的第二数据传输端连接,变压器的第二数据传输端与网口连接。16.进一步来说,交换系统还包括光模块;17.光模块的第一数据传输端与交换芯片的第四数据传输端连接,光模块的第二数据传输端与光口连接。18.进一步来说,还包括第一时钟晶振、第二时钟晶振、第三时钟晶振;19.第一时钟晶振的一端与片上系统的第二数据传输端连接,第一时钟晶振的另一端与无线路由处理芯片的第四数据传输端连接;20.第二时钟晶振分别与信号调制解调单元、功率放大单元连接;21.第三时钟晶振与物理层接口芯片连接。22.进一步来说,还包括电源管理单元;23.电源管理单元的第一端与交换芯片的电源端连接;24.电源管理单元的第二端与无线路由处理芯片的电源端连接;25.电源管理单元的第三端与基带信号处理芯片的电源端连接;26.电源管理单元的第四端分别与信号调制解调单元的电源端、功率放大单元的电源端连接;27.电源管理单元的第五端分别与poe单元的电源端、变压器的电源端连接。28.本发明还提供了一种基于wifi6的双系统无线交换机的通信方法,应用于上述基于wifi6的双系统无线交换机,方法包括:29.步骤1,双系统无线交换机上电,路由系统和交换系统同时启动运行,运行稳定后自动启动认证任务进程;30.步骤2,基带信号处理芯片的端口默认为桥接模式,桥接模式下的无线路由处理芯片发起热点,连接无线网络;31.步骤3,无线路由处理芯片通过配置访问控制列表acl,制定过滤规则,将认证协议请求报文发送至内部的中央处理器,并将访问控制列表acl同步下发至交换芯片;32.步骤4,无线路由处理芯片按照协议报文格式对认证协议请求报文进行封装,并将将封装好的认证协议请求报文发送至接收设备的路由处理芯片进行合法性校验,得到合法的认证协议请求报文;33.步骤5,当接收设备匹配到合法的认证协议请求报文后,接收设备按照协议报文格式封装应答报文,双系统无线交换机根据应答报文与接收设备进行安全认证,认证成功则建立连接。34.进一步来说,所述双系统无线交换机与其他双系统无线交换机通过wifi6建立通信组成业务组网;35.其中,业务组网内的任意一台双系统无线交换机为主机设备,业务组网内除主机设备以外的其他双系统无线交换机为从机设备,主机设备通过选路认证与从机设备建立首次连接;36.业务组网内的主机设备与从机设备之间通过无线桥接相互认证方式进行安全认证。37.进一步来说,无线桥接相互认证方式,包括:38.步骤1,主机设备与从机设备均上电,主机设备中的路由系统和交换系统同时启动运行,运行稳定后自动启动认证任务进程;39.步骤2,将主机设备中基带信号处理芯片的端口默认的桥接模式转换为路由模式,路由模式下的无线路由处理芯片发起热点,从机设备向主机设备发送连接请求;40.步骤3,主机设备中的无线路由处理芯片通过配置访问控制列表acl,制定过滤规则,将认证协议请求报文发送至内部的中央处理器,并将访问控制列表acl同步下发至交换芯片;41.步骤4,无线路由处理芯片按照协议报文格式对认证协议请求报文进行封装,并将将封装好的认证协议请求报文发送至从机设备的无线路由处理芯片进行合法性校验,得到合法的认证协议请求报文;42.步骤5,当从机设备匹配到合法的认证协议请求报文后,从机设备按照协议报文格式封装应答报文,主机设备根据应答报文与从机设备进行安全认证。43.本发明的上述方案有如下的有益效果:44.本发明包括路由系统和交换系统;路由系统包括无线路由处理芯片、基带处理芯片、信号调制解调单元、功率放大单元、wifi天线、第一固态存储器和第一动态存储器;交换系统包括交换芯片、物理接口收发芯片、片上系统第二固态存储器和第二动态存储器;通过构建双系统,且路由系统和交换系统都单独设有存储器,提高了无线交换机系统的稳定性;通过wifi天线接收信号,并将信号传输给信号调制解调单元和功率放大单元进行解调放大后发送至用于编解码wifi6信号数据的基带信号处理芯片,通过基带信号处理芯片进行处理后发送至设有网口和中央处理器的无线路由处理芯片,无线路由处理芯片配置访问控制列表acl并同步下发至交换芯片,无线路由处理芯片收到认证协议请求报文后通过中央处理器进行合法性校验,得到合法的认证协议报文后,并通过无线路由处理芯片封装认证协议应答报文,通过wifi天线或网口发送给接收设备,从而实现和上行设备或运营商网络互联互通,提升了业务处理效率,且相比传统通过网线或光纤线对接的方式,本发明对部署位置没有要求,可以灵活移动位置,安装更为方便。45.本发明的其他有益效果将在随后的具体实施方式部分予以详细说明。附图说明46.图1为本发明实施例的模块原理图;47.图2为采用本发明实施例组成业务组网的示意图;48.图3为本发明实施例的认证协议报文结构示意图。具体实施方式49.为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。50.在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。51.在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是锁定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。52.此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。53.本发明针对现有的问题,提供了一种基于wifi6的双系统无线交换机。54.如图1所示,本发明的实施例提供了一种基于wifi6的双系统无线交换机,包括:55.路由系统和交换系统;56.路由系统包括无线路由处理芯片、基带处理芯片、信号调制解调单元、功率放大单元、wifi天线、用于将输入中央处理器cpu或片上系统中的认证协议请求报文进行储存的第一固态存储器和第一动态存储器;57.交换系统包括交换芯片、物理接口收发芯片(physical,phy芯片)、片上系统、用于将输入中央处理器cpu或片上系统中的认证协议请求报文进行储存的第二固态存储器和第二动态存储器。58.在本发明实施例中,本发明采用的协议标准为ieee802.11ax,交换芯片采用的型号为rtl8382m,可以是百兆或千兆交换芯片,也可以是万兆交换芯片,用于完成mac、vlan、二层协议、acl、安全服务认证等功能;片上系统可以直接采用mac介质访问控制芯片集成的系统级芯片(systemonchip,soc),也可以外置一个独立的中央处理器cpu;无线路由处理芯片采用的型号为mt7621,内部集成有中央处理器,同时设有网口,用于完成路由、wifi功能、服务设置标识(servicesetidentifier,ssid)、nat、vpn、防火墙等功能;基带信号处理芯片采用wifi6的基带信号处理芯片,例如mt7905da,用于编解码wifi6信号数据;信号调制解调单元与功率放大单元在本发明实施例中集成于一体,采用的型号可以是mt7975dn等,主要是完成对模拟信号与数字信号之间的转换;由于基带信号处理芯片提供了2.4ghz和5ghz两种频率,所以需要采用两根2.4ghz和两根5ghzwifi天线,wifi天线可以采用内置或外置两种方式,但如果交换机的设备外壳为金属壳,则必须外置wifi天线;在本发明实施例中,无线路由处理芯片和交换芯片都与独立的动态存储器ddr和固态存储器flash相连,分别运行各自系统,确保运算、存储互不干扰。59.无线路由处理芯片的第二数据传输端、第三数据传输端分别与基带信号处理芯片的第一数据传输端、第二数据传输端连接,基带信号处理芯片的第三数据传输端分别与信号调制解调单元的第一数据传输端、功率放大单元的第一数据传输端连接,信号调制解调单元的第二数据传输端、功率放大单元的第二数据传输端均与wifi天线连接,第一固态存储器的数据传输端与第一动态存储器的数据传输端连接并接入无线路由处理芯片的第四数据传输端和片上系统的第二数据传输端;60.物理接口收发芯片的第一数据传输端与交换芯片的第一数据传输端连接,物理接口收发芯片的第二数据传输端与无线路由处理芯片的第一数据传输端连接,交换芯片的第二数据传输端与片上系统的第一数据传输端连接,片上系统的第二数据传输端与无线路由处理芯片的第四数据传输端连接,第二固态存储器的数据传输端与片上系统的第三数据传输端连接,第二动态存储器的数据传输端与片上系统的第四数据传输端连接。61.本发明实施例的工作原理为:wifi天线接收信号并将信号传输给信号调制解调单元和功率放大单元进行解调放大后发送至用于编解码wifi6信号数据的基带信号处理芯片,通过基带信号处理芯片进行处理后发送至设有网口和中央处理器的无线路由处理芯片,无线路由处理芯片配置访问控制列表acl并同步下发至交换芯片,无线路由处理芯片收到认证协议请求报文后通过中央处理器进行合法性校验,得到合法的认证协议报文后,并由无线路由处理芯片封装认证协议应达报文,通过wifi天线或网口发送给接收设备;通过配置顶层wifi6双系统无线交换机为路由模式,可以对来自于其他基于wifi6的无线交换机和本地其他业务端口的数据流进行路由、nat、vpn等操作,并通过wan口转发,从而实现和上行设备或运营商网络互联互通。62.具体来说,交换系统还包括:物理层接口芯片(physical,phy芯片);63.物理层接口芯片的第一数据传输端与交换芯片的第三数据传输端连接,物理层接口芯片的第二数据传输端与网口连接。64.phy芯片采用的芯片型号可以是rtl8218d,也可以是mac介质访问控制芯片或路由处理芯片集成的物理层接口phy,一般为千兆phy,上行采用qsgmii协议与交换芯片的串行器serdes连接,下行通过phy来扩展端口,一般采用一分为四的模式。65.具体来说,当交换机为poe交换机时,则交换系统还包括:poe(poweroverethernet,有源以太网)单元和用于对受电设备的供电电压值进行控制的变压器;66.poe单元的第一数据传输端与物理层接口芯片的第二数据传输端连接,poe单元的第二数据传输端与网口连接;主要作用是给电口相连接的(powerdevice,pd)受电终端设备供电,并提供功率调度及保护等功能。67.变压器的数据传输端与物理层接口芯片的第二数据传输端连接,变压器的第二数据传输端与网口连接。68.具体来说,交换系统还包括sfp(smallformpluggable)光模块;69.光模块的第一数据传输端与交换芯片的第四数据传输端连接,光模块的第二数据传输端与光口连接。70.具体来说,还包括第一时钟晶振、第二时钟晶振、第三时钟晶振;71.第一时钟晶振的一端与片上系统的第二数据传输端连接,第一时钟晶振的另一端与无线路由处理芯片的第四数据传输端连接;72.第二时钟晶振分别与信号调制解调单元、功率放大单元连接;73.第三时钟晶振与物理层接口芯片连接。74.具体来说,还包括电源管理单元;75.电源管理单元的第一端与交换芯片的电源端连接;76.电源管理单元的第二端与无线路由处理芯片的电源端连接;77.电源管理单元的第三端与基带信号处理芯片的电源端连接;78.电源管理单元的第四端分别与信号调制解调单元的电源端、功率放大单元的电源端连接;79.电源管理单元的第五端分别与poe单元的电源端、变压器的电源端连接。80.该电源管理单元中集成有电源以及为其他芯片提供保护的过压保护电路、过流保护电路和防雷击电路,如果交换机为poe交换机,则电源需是poe电源,需要给网口下挂的(powerdevice,pd)受电终端设备供电。81.具体来说,本发明实施例采用交换芯片的一个千兆业务端口来作为无线路由处理芯片的认证协议请求报文转发端口,如port0端口,简称路由端口。需要路由上行或其他wifi交换机进行通信,认证协议请求报文都需要通过此路由端口。交换芯片的其他端口用来当普通业务端口用,可以设计为电口也可设计为光口,具体根据交换芯片的规格来定。82.具体来说,本发明实施例的三层路由协议、nat、iptable、vpn、wifi6用户管控、dhcp-server等业务功能由路由系统来完成;二层协议、vlan、mac管理、acl、端口隔离、二层环路协议、igmp-snooping、dot1x、radius等功能协议由交换系统来完成,形成双系统交换机,提升了业务处理效率,保证了系统稳定性,开发和应用更加灵活。可以灵活切换交换芯片或路由处理芯片,从而实现快速迭代,应对各种市场需求。83.本发明实施例还提供了一种基于wifi6的双系统无线交换机的通信方法,应用于如基于wifi6的双系统无线交换机,方法包括:84.步骤1,双系统无线交换机上电,路由系统和交换系统同时启动运行,运行稳定后自动启动认证任务进程;85.步骤2,基带信号处理芯片的端口默认为桥接模式,桥接模式下的无线路由处理芯片既是热点ap,也是终端接入,无线路由处理芯片发起热点,并连接无线网络;86.步骤3,无线路由处理芯片通过配置访问控制列表acl,制定过滤规则,允许认证协议请求报文发送至内部的中央处理器,并将访问控制列表acl同步下发至交换芯片;87.步骤4,无线路由处理芯片按照协议报文格式对认证协议请求报文进行封装,并将将封装好的认证协议请求报文发送至接收设备的路由处理芯片进行合法性校验,得到合法的认证协议请求报文;88.步骤5,当接收设备匹配到合法的认证协议请求报文后,接收设备按照协议报文格式封装应答报文,双系统无线交换机根据应答报文与接收设备进行安全认证,认证成功则建立连接。89.具体来说,本发明实施例可以工作在路由或桥接两种模式,桥接模式下可以使多台交换机通过wifi6进行连接,形同一根网线直连。路由模式下,此交换机其他业务端口数据,以及与其他交换机通过wifi6接口交互的数据,都可以通过无线路由处理芯片对外的wan口与上行设备通信,或通过wan口接入运营商互联网络中。90.具体来说,双系统无线交换机与其他双系统无线交换机通过wifi6建立通信组成业务组网;91.其中,业务组网内的任意一台双系统无线交换机为主机设备,业务组网内除主机设备以外的其他双系统无线交换机为从机设备,主机设备通过选路认证与从机设备建立首次连接;92.业务组网内的主机设备与从机设备之间通过无线桥接相互认证方式进行安全认证。93.具体来说,无线桥接相互认证方式,包括:94.步骤1,主机设备与从机设备均上电,主机设备中的路由系统和交换系统同时启动运行,运行稳定后自动启动认证任务进程;95.步骤2,将主机设备中基带信号处理芯片的端口默认的桥接模式转换为路由模式,路由模式下的无线路由处理芯片发起热点,从机设备向主机设备发送连接请求;96.步骤3,主机设备中的无线路由处理芯片通过配置访问控制列表acl,制定过滤规则,允许认证协议请求报文发送至内部的中央处理器,并将访问控制列表acl同步下发至交换芯片;97.步骤4,无线路由处理芯片按照协议报文格式对认证协议请求报文进行封装,并将将封装好的认证协议请求报文发送至从机设备的无线路由处理芯片进行合法性校验,得到合法的认证协议请求报文;98.步骤5,当从机设备匹配到合法的认证协议请求报文后,从机设备按照协议报文格式封装应答报文,主机设备根据应答报文与从机设备进行安全认证。99.本发明实施例与其他双系统无线交换之间通过无线桥接相互认证方式进行安全认证,1号双系统无线交换机作为主机设备,其中的无线路由处理芯片工作在路由模式,2号、3号、4号和5号双系统无线交换机作为从机设备,其中的无线路由处理芯片都工作在桥接模式,无线路由处理芯片中的中央处理器cpu对业务报文数据只进行数据链路层处理和转发,所有从机设备使用的wifi6既是热点ap,也是终端接入,无线路由处理芯片通过wifi6作为热点,允许下级设备通过wifi6接入本设备网络,同时自身通过wifi6终端模式接入上行设备。而作为主机设备使用的wifi6仅为热点ap模式,每个设备的服务设置标识(servicesetidentifier,ssid)通过本发明实施例定义的映射方式自动生成,以便于设备之间自动进行服务设置标识ssid认证和连接。100.设备默认服务设置标识ssid生成算法如下:服务设置标识ssid默认前缀一致,统一为一段固定字符串(如frapsw_xx)其中frapsw_为前缀,主要用于标识为本发明实施例中设备的服务设置标识ssid,后缀xx确保每台设备不一致,由无线路由处理芯片mac地质经过一定运算生成:unsignedintvalue=((mac[3]|mac[5]) (mac[4]|mac[3]) (mac[5]|mac[4]))&0xff;[0101]value=(value&mac[5] value|(mac[5] 3))&0xff;[0102]然后将value用十六进制格式化输出字符串后缀xx;[0103]例如:如果value运算结果为0xf6,则当前服务设置标识ssid号为frapsw_f6;用户也可以通过本地登录基于wifi6的双系统无线交换机自己设定服务设置标识ssid,但需尽量保持前缀一致,便于自动连接,否则需要用户手动连接上级热点ap。[0104]服务设置标识ssid(如frapsw_xx)需要默认密码,便于组网系统下本发明实施例的双系统无线交换机自动与其他双系统无线交换机连接。对应的默认密码生成方法:通过当前连接热点ap的源mac地址、上述后缀xx对应的value值、key码,经过一定运算生成。[0105]定义key[6]={0x1a、0x58、0x66、0xb5、0xe9、0xfb},unsignedintpasswd=(((mac[5] value)|key[0])&0xff)《《24 (((mac[4] value)|key[1])&0xff)《《16 (((mac[3] value)|key[2])&0xff)《《8 (((mac[2] value)|key[3])&0xff)《《8 mac[1] mac[2] key[4] key[5]。[0106]密码前缀默认固定(如wifi_yyyyyyyy),wifi_为前缀,yy值为passwd作为十六进制格式化字符串输出值。例如:如果passwd运算值为0xa893fed6,则连接的ssid密码为wifi_a893fed6。[0107]具体来说,本发明实施例的认证协议采用二层私有协议,二层私有协议一般情况下手机或笔记本无法截取报文,会被手机或电脑操作系统作为非法报文默认丢弃,需要特殊的工具才能窃取,相对较安全。认证协议请求报文格式如下图3所示,报文目的mac为组播地址01:80:c2:17:04:17,但不限于此组播mac;源mac地址为交换机本身mac;以太网协议类型为0x1771,但不限于此协议号;报文数据内容包含有报文类型、校验码、优先级、默认vlan等信息。其中报文类型为本协议的tlv报文类型,不同的消息交互可以采用不同报文类型定义;校验码是用来校验设备与设备之间协议通信统一标识,如果校验码不一致,则会认为报文非法,丢弃此报文,因此认证失败;本发明的校验码通过源mac地址、默认vlan和key值,按照一定算法生成,生成算法如下:[0108]定义charkey[16]:[0109]charkey[16]={0x11,0x33,0x56,0x12,0xa5,0x30,0xb6,0x1c,0x98,0x3d,0xbf,0x88,0xb2,0x1c,0x1e,0x26};[0110]checksum=(mac[0]&key[0] mac[1]&key[1] mac[2]&key[2] mac[3]&key[3]) ((mac[4]&key[4] mac[5]&key[5] vlan[0]&key[6] vlan[1]&key[7])&0xff)《《8 ((mac[0]|key[8] mac[1]|key[9] mac[2]|key[10] mac[3]|key[11])&0xff)《《16 ((mac[4]|key[12] mac[5]|key[13] vlan[0]|key[14] vlan[1]|key[15])&0xff)《《24。[0111]默认vlan即为交换芯片与基带信号处理芯片对接的端口(如图1端口27、28)的端口pvid(端口默认vlanid),所以通过wifi6对接的交换机,都需协商统一将无线对接的mac端口的pvid设置成一样,配置为4094,如果4094协商失败,则往下递减,直到相互都满足的vlanid为止。优先级即默认vlan协商的时候,以优先级较高的交换机的pvid为参考。[0112]本发明实施例的安全认证方式流程如下:[0113]基于wifi6的双系统无线交换机上电,路由系统和交换系统同时启动运行;系统运行稳定后,由于交换机中与基带信号处理芯片的接口转发模式默认为桥接模式,如果设备需要作为主机设备(即顶层出口路由设备),则需将桥接模式改为路由模式,桥接模式下无线路由处理芯片的dhcp-server功能为关闭状态,路由模式下路由模块的dhcp-server功能为开启状态,所有dhcp客户端终端设备ip地址都由主设备的无线交换机来分配,桥接模式的无线交换机的ip地址可以手动配置为静态地址,也可以开启dhcp-client自动获取。[0114]路由系统运行稳定后,自动启动本发明实施例的认证任务进程,桥接模式下的无线路由处理芯片会自动发起向ssid前缀和自身ssid前缀一致的ap热点,并发起连接请求,通过抓取将要连接的ap热点发出的deacon帧或proberesponse帧,通过分析报文以太网帧头内容,提取报文源mac得到热点ap的mac地址,然后系统根据mac地址、ssid号后缀值、算法key计算(具体算法如上描述:无线桥接安全认证方式)得出此ssid对应密码,从而连接到热点ap网络。[0115]无线路由处理芯片通过配置访问控制列表acl功能,指定过滤规则,允许目的mac为本发明实施例的任务认证协议的mac,协议号为认证报文协议类型的协议号,且入端口号为与基带信号处理芯片相接的端口的认证协议请求报文发往无线路由处理芯片的内置中央处理器cpu中,其他报文如果没有802.1q头或802.1q中携带的vlanid为默认vlan则丢弃;无线路由处理芯片通过私有协议将此配置同步给交换芯片,交换芯片进行同步硬件配置。[0116]组网系统下的双系统无线交换机首次建立连接时,需要进行选路认证,通过本发明实施例的选路方法,选择一条距离最近、信号最强的上级无线热点ap进行连接并保存数据,以便下次登录无需再进行选路。选路方式为无线路由处理芯片连接热点ap后,作为下级从机设备的交换机的无线路由处理芯片回发送如图3所示的认证协议请求报文,向上级作为热点ap的交换机请求认证。通过按照如图3所示的报文结构封装本发明实施例的认证协议请求报文,tlv报文内容从交换机保存配置中获取,如果没有保存的配置,则采用默认值填充,校验码通过上述算法生成并填充。报文类型为选路请求报文。上级交换机收到请求报文后,会进行认证,认证通过回复如图3所示的报文格式的应答报文,报文类型为选路应答报文,tlv报文内容将填入hops值,即热点ap无线交换机距离主无线交换机的跳数,跳数越小,则距离越近。下级交换机收到应答报文后,提取报文内容hops值,无线交换机通过所连接的热点ap的信号强度值、距离主无线交换机hops值,来决定与哪个热点ap建立上下连接关系,信号强度强的热点ap优先,如果信号强度一致,则以hops值越小的热点ap优先连接。系统通过首次选路得到最优路径后,会保存此最优连接的热点ap的ssid到flash中,自身的hops值相应加1,下次设备起来后会直接和保存在flash中的ssid建立连接,从而无需再次反复选路,只有当保存的ssid网络中无法发现或连接失败,才会重新唤醒选路流程,重新扫描热点ap,选择连接最优的热点。[0117]然后从与基带信号处理芯片相接的端口将校验码和认证协议请求报文发送给无线路由处理芯片,无线路由处理芯片收到报文后发往片上系统,片上系统将报文送往认证处理任务,通过解析报文内容,根据报文携带的源mac和默认vlan,通过校验码生成算法生成校验和checksum,如果校验和与报文携带的校验码一致,则认为合法,如果不匹配则丢弃,则无法相互同步默认vlan等信息,因此无法建立连接。[0118]路由系统与交换系统之间的配置同步和业务转发都通过之间连接的路由端口port0进行,配置数据通过私有协议方式同步,路由系统作为外界命令接收入口,将vlan、acl等配置数据通过私有协议方式同步给交换系统,交换系统根据配置内容,对交换芯片进行相应配置。[0119]从机设备的无线路由处理芯片匹配到合法校验的认证协议请求报文后,则同样在中央处理器cpu中以图3所示的报文格式封装应答报文,报文类型为应答,其他tlv数据填充和请求报文一致。通过相互协商默认vlan,如果自身默认vlan和对端不一致,则以优先级最高的默认vlan为准,将路由端口(port0)默认vlan改为最高优先级的vlan。同时将路由端口(port0)vlan类型改为trunk模式,即业务报文从此端口出去都会添加对应的转发vlanid的802.1q头。[0120]本发明实施例采用上述的认证方式,可以允许指定的手机或pc通过wifi登录交换机,并对交换机进行本地管理,极大的降低了设备管理难度,摒弃了传统接入网线或串口线管理交换机的方式;且在通过手机管理交换机设备时,交换机设备无需接入互联网,这和传统的云端管理和物联网管理方式不一样,传统方式是需要交换机本身能接入到互联网络。[0121]通过上述认证协议后,通过方法一:每台双系统无线交换机可以把路由端口,当作普通业务端口进行配置;如果两台双系统无线交换机通过wifi6进行通信,如上图二组网业务图,如果2号和3号双系统无线交换机下面的两台pc之间要组成同一个局域网,则2号和3号双系统无线交换机通过配置同一vlan,并将同一网段的终端相接的端口划分到此vlan下,这样形成一个虚拟局域网,即地址为同一网段。同时默认将与无线路由处理芯片相接的mac端口也加入到此vlan下;由于交换芯片的路由端口为trunk模式,非默认vlan转发的报文,从此端口出去都会携带转发vlan的802.1q以太网报文。而其他手机、平板、笔记本电脑、普通无线路由器等默认发送的wifi数据报文,由于不携带802.1q,即为untag报文,则会以默认vlan转发,根据上述设置的acl过滤规则,则会被丢弃。这样能有效防止一些非法终端接入交换网络,也能避免非法终端意图盗窃业务报文。[0122]方法二:在双系统无线交换机的普通端口设置成customer端口属性,基于innervlan转发,在交换机路由端口设置为uplink端口属性,基于outervlan转发,普通端口业务报文从uplink端口出去,采用双tag方式,在intervlantag头前插入一层基于路由和mac相接的端口默认vlan的tag头。接收端的双系统无线交换机收到双tag报文后,基于qinq(802.1q-in-802.1q)方式的安全过滤方法,通过vlan检查过滤,再剥掉外层tag,然后以内层tag来进行业务转发;通过配置acl规则,如果与基带信号处理芯片相接的端口收到数据报文(本发明实施例的认证协议请求报文除外)没有双tag标记,且外层tagvlanid不等于默认vlan,则丢弃;这种处理方式更能起到很好的业务数据安全保护作用。[0123]方法三:交换机通过在认证协议报文中,将本设备所配置的所有vlan列表,作为数据内容填入报文tlv中,携带出去。对与基带信号处理芯片相接的端口收到认证协议报文,认证通过后,获取对应的vlan列表。此时,基于业务vlan的过滤方法,交换机通过下发acl规则,对与基带信号处理芯片相接的端口进来的报文进行过滤,仅允许报文tagvlanid为此vlan列表中的vlan通过,如果携带的是其他vlanid的802.1q报文则丢弃,如果报文为untag报文(非认证协议报文),同样丢弃。这种处理方式更能起到针对性的业务数据安全保护作用,但会占用较多的acl表现资源。[0124]以上三种过滤方法,都是通过硬件过滤,不会影响转发性能和延时,即无需cpu参与。所以采用本发明实施例的基于wifi6的双系统无线交换机,从有线网口进入的业务报文能实现全速通过wifi6转发出去,同时从wifi6无线进入的报文也能全速转发到交换机其他网口。[0125]本发明采用的安全认证方式,理论上是只有认证协议请求报文才有可能通过与基带信号处理芯片相接的端口送上无线路由处理芯片内置的中央处理器cpu处理,其他报文则发往交换机其他业务端口或wifi桥接转发出去,如果满足acl丢弃过滤规则,则被过滤丢弃。但是如果用户想通过某台手机或笔记本电脑通过无线wifi对双系统无线交换机进行本地管理,则需要将手机或笔记本电脑报文发往交换机的片上系统,而不被过滤。[0126]方法一:此时手机或笔记本需要安装一个本发明认证协议的应用软件,通过应用软件向wifi网络接口发送认证管理协议请求,请求双系统无线交换机管理授权,授权后,交换机会将管理终端设备的mac,写入高优先级的acl规则,允许源mac匹配此acl规则mac的报文通过,即达到管理双系统无线交换机的目的。[0127]方法二:双系统无线交换机提前将需要接入管理交换机的终端设备的mac地址保存,下发允许源mac为此mac的报文通过与基带信号处理芯片相接的端口的acl,并保存此配置,从而实现终端正常与交换机的片上系统通信。[0128]本发明实施例包括路由系统和交换系统;路由系统包括无线路由处理芯片、基带处理芯片、信号调制解调单元、功率放大单元、wifi天线、第一固态存储器和第一动态存储器;交换系统包括交换芯片、物理接口收发芯片、片上系统第二固态存储器和第二动态存储器;通过构建双系统,且路由系统和交换系统都单独设有存储器,提高了无线交换机系统的稳定性;通过wifi天线接收信号,并将信号传输给信号调制解调单元和功率放大单元进行解调放大后发送至用于编解码wifi6信号数据的基带信号处理芯片,通过基带信号处理芯片进行处理后发送至设有网口和中央处理器的无线路由处理芯片,无线路由处理芯片配置访问控制列表acl并同步下发至交换芯片,无线路由处理芯片收到认证协议请求报文后通过中央处理器进行合法性校验,得到合法的认证协议报文后,并通过无线路由处理芯片封装认证协议应答报文,通过wifi天线或网口发送给接收设备,从而实现和上行设备或运营商网络互联互通,提升了业务处理效率,且相比传统通过网线或光纤线对接的方式,本发明对部署位置没有要求,可以灵活移动位置,安装更为方便。[0129]以上所述是本发明的优选实施方式,应当指出,对于本
技术领域:
:的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。当前第1页12当前第1页12
技术领域:
:1.本发明涉及交换机
技术领域:
:,特别涉及一种基于wifi6的双系统无线交换机。
背景技术:
::2.交换机(switch)意为“开关”是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。现在常见的交换机是以太网交换机、电话语音交换机、光纤交换机和软交换等。交换机通过直通式、存储转发和碎片隔离三种方式进行交换。3.目前市场上的交换机和其他交换机对接,都需要通过网线(双绞线)和rj45接头,或光纤线和光模块,来实现两台交换机之间的通信。而在稍大规模的企业、小区、学校、商场等场合,都需要多台交换机串联部署才能完全整个网络需求。所以在楼层楼道建设初期就要规划好网络,提前嵌入网线或光纤线到建筑实体中。如果建设完好的楼宇,由于前期网络部署不周,或后续需要扩容网络终端设备,需要增加交换机和终端,再去改造楼层之间的网线布线,难度很大,且影响楼宇整体美观。另外在工地等临时办公,或布线不方便的领域,目前市面上的交换机互联方式不太方便,且灵活性不强。目前交换机本地管理需要用电脑通过网线接入网络,或用串口线接入交换机进行管理,安全性不高,管理也不是很方便;也未使用最新的wifi6通信技术,且交换芯片和基带信号处理芯片共用中央处理器cpu和内存器,存在转发性能较弱、硬件设计灵活性不强,软件开发复杂、稳定性较差的缺陷,且传统wifi接入是通过服务设置标识(servicesetidentifier,ssid)单向认证接入,无法知道用户类型,安全性差,容易被攻击。技术实现要素:4.本发明提供了一种基于wifi6的双系统无线交换机,其目的是为了通过构建双系统提高无线交换机系统的稳定性。5.为了达到上述目的,本发明提供了一种基于wifi6的双系统无线交换机,包括:6.路由系统和交换系统;7.路由系统包括无线路由处理芯片、基带处理芯片、信号调制解调单元、功率放大单元、wifi天线、第一固态存储器和第一动态存储器;8.交换系统包括交换芯片、物理接口收发芯片、片上系统第二固态存储器和第二动态存储器;9.无线路由处理芯片的第二数据传输端、第三数据传输端分别与基带信号处理芯片的第一数据传输端、第二数据传输端连接,基带信号处理芯片的第三数据传输端分别与信号调制解调单元的第一数据传输端、功率放大单元的第一数据传输端连接,信号调制解调单元的第二数据传输端、功率放大单元的第二数据传输端均与wifi天线连接,第一固态存储器的数据传输端与第一动态存储器的数据传输端连接并接入无线路由处理芯片的第四数据传输端和片上系统的第二数据传输端;10.物理接口收发芯片的第一数据传输端与交换芯片的第一数据传输端连接,物理接口收发芯片的第二数据传输端与无线路由处理芯片的第一数据传输端连接,交换芯片的第二数据传输端与片上系统的第一数据传输端连接,片上系统的第二数据传输端与无线路由处理芯片的第四数据传输端连接,第二固态存储器的数据传输端与片上系统的第三数据传输端连接,第二动态存储器的数据传输端与片上系统的第四数据传输端连接。11.进一步来说,交换系统还包括:物理层接口芯片;12.物理层接口芯片的第一数据传输端与交换芯片的第三数据传输端连接,物理层接口芯片的第二数据传输端与网口连接。13.进一步来说,交换系统还包括:poe单元和变压器;14.poe单元的第一数据传输端与物理层接口芯片的第二数据传输端连接,poe单元的第二数据传输端与网口连接;15.变压器的数据传输端与物理层接口芯片的第二数据传输端连接,变压器的第二数据传输端与网口连接。16.进一步来说,交换系统还包括光模块;17.光模块的第一数据传输端与交换芯片的第四数据传输端连接,光模块的第二数据传输端与光口连接。18.进一步来说,还包括第一时钟晶振、第二时钟晶振、第三时钟晶振;19.第一时钟晶振的一端与片上系统的第二数据传输端连接,第一时钟晶振的另一端与无线路由处理芯片的第四数据传输端连接;20.第二时钟晶振分别与信号调制解调单元、功率放大单元连接;21.第三时钟晶振与物理层接口芯片连接。22.进一步来说,还包括电源管理单元;23.电源管理单元的第一端与交换芯片的电源端连接;24.电源管理单元的第二端与无线路由处理芯片的电源端连接;25.电源管理单元的第三端与基带信号处理芯片的电源端连接;26.电源管理单元的第四端分别与信号调制解调单元的电源端、功率放大单元的电源端连接;27.电源管理单元的第五端分别与poe单元的电源端、变压器的电源端连接。28.本发明还提供了一种基于wifi6的双系统无线交换机的通信方法,应用于上述基于wifi6的双系统无线交换机,方法包括:29.步骤1,双系统无线交换机上电,路由系统和交换系统同时启动运行,运行稳定后自动启动认证任务进程;30.步骤2,基带信号处理芯片的端口默认为桥接模式,桥接模式下的无线路由处理芯片发起热点,连接无线网络;31.步骤3,无线路由处理芯片通过配置访问控制列表acl,制定过滤规则,将认证协议请求报文发送至内部的中央处理器,并将访问控制列表acl同步下发至交换芯片;32.步骤4,无线路由处理芯片按照协议报文格式对认证协议请求报文进行封装,并将将封装好的认证协议请求报文发送至接收设备的路由处理芯片进行合法性校验,得到合法的认证协议请求报文;33.步骤5,当接收设备匹配到合法的认证协议请求报文后,接收设备按照协议报文格式封装应答报文,双系统无线交换机根据应答报文与接收设备进行安全认证,认证成功则建立连接。34.进一步来说,所述双系统无线交换机与其他双系统无线交换机通过wifi6建立通信组成业务组网;35.其中,业务组网内的任意一台双系统无线交换机为主机设备,业务组网内除主机设备以外的其他双系统无线交换机为从机设备,主机设备通过选路认证与从机设备建立首次连接;36.业务组网内的主机设备与从机设备之间通过无线桥接相互认证方式进行安全认证。37.进一步来说,无线桥接相互认证方式,包括:38.步骤1,主机设备与从机设备均上电,主机设备中的路由系统和交换系统同时启动运行,运行稳定后自动启动认证任务进程;39.步骤2,将主机设备中基带信号处理芯片的端口默认的桥接模式转换为路由模式,路由模式下的无线路由处理芯片发起热点,从机设备向主机设备发送连接请求;40.步骤3,主机设备中的无线路由处理芯片通过配置访问控制列表acl,制定过滤规则,将认证协议请求报文发送至内部的中央处理器,并将访问控制列表acl同步下发至交换芯片;41.步骤4,无线路由处理芯片按照协议报文格式对认证协议请求报文进行封装,并将将封装好的认证协议请求报文发送至从机设备的无线路由处理芯片进行合法性校验,得到合法的认证协议请求报文;42.步骤5,当从机设备匹配到合法的认证协议请求报文后,从机设备按照协议报文格式封装应答报文,主机设备根据应答报文与从机设备进行安全认证。43.本发明的上述方案有如下的有益效果:44.本发明包括路由系统和交换系统;路由系统包括无线路由处理芯片、基带处理芯片、信号调制解调单元、功率放大单元、wifi天线、第一固态存储器和第一动态存储器;交换系统包括交换芯片、物理接口收发芯片、片上系统第二固态存储器和第二动态存储器;通过构建双系统,且路由系统和交换系统都单独设有存储器,提高了无线交换机系统的稳定性;通过wifi天线接收信号,并将信号传输给信号调制解调单元和功率放大单元进行解调放大后发送至用于编解码wifi6信号数据的基带信号处理芯片,通过基带信号处理芯片进行处理后发送至设有网口和中央处理器的无线路由处理芯片,无线路由处理芯片配置访问控制列表acl并同步下发至交换芯片,无线路由处理芯片收到认证协议请求报文后通过中央处理器进行合法性校验,得到合法的认证协议报文后,并通过无线路由处理芯片封装认证协议应答报文,通过wifi天线或网口发送给接收设备,从而实现和上行设备或运营商网络互联互通,提升了业务处理效率,且相比传统通过网线或光纤线对接的方式,本发明对部署位置没有要求,可以灵活移动位置,安装更为方便。45.本发明的其他有益效果将在随后的具体实施方式部分予以详细说明。附图说明46.图1为本发明实施例的模块原理图;47.图2为采用本发明实施例组成业务组网的示意图;48.图3为本发明实施例的认证协议报文结构示意图。具体实施方式49.为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。50.在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。51.在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是锁定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。52.此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。53.本发明针对现有的问题,提供了一种基于wifi6的双系统无线交换机。54.如图1所示,本发明的实施例提供了一种基于wifi6的双系统无线交换机,包括:55.路由系统和交换系统;56.路由系统包括无线路由处理芯片、基带处理芯片、信号调制解调单元、功率放大单元、wifi天线、用于将输入中央处理器cpu或片上系统中的认证协议请求报文进行储存的第一固态存储器和第一动态存储器;57.交换系统包括交换芯片、物理接口收发芯片(physical,phy芯片)、片上系统、用于将输入中央处理器cpu或片上系统中的认证协议请求报文进行储存的第二固态存储器和第二动态存储器。58.在本发明实施例中,本发明采用的协议标准为ieee802.11ax,交换芯片采用的型号为rtl8382m,可以是百兆或千兆交换芯片,也可以是万兆交换芯片,用于完成mac、vlan、二层协议、acl、安全服务认证等功能;片上系统可以直接采用mac介质访问控制芯片集成的系统级芯片(systemonchip,soc),也可以外置一个独立的中央处理器cpu;无线路由处理芯片采用的型号为mt7621,内部集成有中央处理器,同时设有网口,用于完成路由、wifi功能、服务设置标识(servicesetidentifier,ssid)、nat、vpn、防火墙等功能;基带信号处理芯片采用wifi6的基带信号处理芯片,例如mt7905da,用于编解码wifi6信号数据;信号调制解调单元与功率放大单元在本发明实施例中集成于一体,采用的型号可以是mt7975dn等,主要是完成对模拟信号与数字信号之间的转换;由于基带信号处理芯片提供了2.4ghz和5ghz两种频率,所以需要采用两根2.4ghz和两根5ghzwifi天线,wifi天线可以采用内置或外置两种方式,但如果交换机的设备外壳为金属壳,则必须外置wifi天线;在本发明实施例中,无线路由处理芯片和交换芯片都与独立的动态存储器ddr和固态存储器flash相连,分别运行各自系统,确保运算、存储互不干扰。59.无线路由处理芯片的第二数据传输端、第三数据传输端分别与基带信号处理芯片的第一数据传输端、第二数据传输端连接,基带信号处理芯片的第三数据传输端分别与信号调制解调单元的第一数据传输端、功率放大单元的第一数据传输端连接,信号调制解调单元的第二数据传输端、功率放大单元的第二数据传输端均与wifi天线连接,第一固态存储器的数据传输端与第一动态存储器的数据传输端连接并接入无线路由处理芯片的第四数据传输端和片上系统的第二数据传输端;60.物理接口收发芯片的第一数据传输端与交换芯片的第一数据传输端连接,物理接口收发芯片的第二数据传输端与无线路由处理芯片的第一数据传输端连接,交换芯片的第二数据传输端与片上系统的第一数据传输端连接,片上系统的第二数据传输端与无线路由处理芯片的第四数据传输端连接,第二固态存储器的数据传输端与片上系统的第三数据传输端连接,第二动态存储器的数据传输端与片上系统的第四数据传输端连接。61.本发明实施例的工作原理为:wifi天线接收信号并将信号传输给信号调制解调单元和功率放大单元进行解调放大后发送至用于编解码wifi6信号数据的基带信号处理芯片,通过基带信号处理芯片进行处理后发送至设有网口和中央处理器的无线路由处理芯片,无线路由处理芯片配置访问控制列表acl并同步下发至交换芯片,无线路由处理芯片收到认证协议请求报文后通过中央处理器进行合法性校验,得到合法的认证协议报文后,并由无线路由处理芯片封装认证协议应达报文,通过wifi天线或网口发送给接收设备;通过配置顶层wifi6双系统无线交换机为路由模式,可以对来自于其他基于wifi6的无线交换机和本地其他业务端口的数据流进行路由、nat、vpn等操作,并通过wan口转发,从而实现和上行设备或运营商网络互联互通。62.具体来说,交换系统还包括:物理层接口芯片(physical,phy芯片);63.物理层接口芯片的第一数据传输端与交换芯片的第三数据传输端连接,物理层接口芯片的第二数据传输端与网口连接。64.phy芯片采用的芯片型号可以是rtl8218d,也可以是mac介质访问控制芯片或路由处理芯片集成的物理层接口phy,一般为千兆phy,上行采用qsgmii协议与交换芯片的串行器serdes连接,下行通过phy来扩展端口,一般采用一分为四的模式。65.具体来说,当交换机为poe交换机时,则交换系统还包括:poe(poweroverethernet,有源以太网)单元和用于对受电设备的供电电压值进行控制的变压器;66.poe单元的第一数据传输端与物理层接口芯片的第二数据传输端连接,poe单元的第二数据传输端与网口连接;主要作用是给电口相连接的(powerdevice,pd)受电终端设备供电,并提供功率调度及保护等功能。67.变压器的数据传输端与物理层接口芯片的第二数据传输端连接,变压器的第二数据传输端与网口连接。68.具体来说,交换系统还包括sfp(smallformpluggable)光模块;69.光模块的第一数据传输端与交换芯片的第四数据传输端连接,光模块的第二数据传输端与光口连接。70.具体来说,还包括第一时钟晶振、第二时钟晶振、第三时钟晶振;71.第一时钟晶振的一端与片上系统的第二数据传输端连接,第一时钟晶振的另一端与无线路由处理芯片的第四数据传输端连接;72.第二时钟晶振分别与信号调制解调单元、功率放大单元连接;73.第三时钟晶振与物理层接口芯片连接。74.具体来说,还包括电源管理单元;75.电源管理单元的第一端与交换芯片的电源端连接;76.电源管理单元的第二端与无线路由处理芯片的电源端连接;77.电源管理单元的第三端与基带信号处理芯片的电源端连接;78.电源管理单元的第四端分别与信号调制解调单元的电源端、功率放大单元的电源端连接;79.电源管理单元的第五端分别与poe单元的电源端、变压器的电源端连接。80.该电源管理单元中集成有电源以及为其他芯片提供保护的过压保护电路、过流保护电路和防雷击电路,如果交换机为poe交换机,则电源需是poe电源,需要给网口下挂的(powerdevice,pd)受电终端设备供电。81.具体来说,本发明实施例采用交换芯片的一个千兆业务端口来作为无线路由处理芯片的认证协议请求报文转发端口,如port0端口,简称路由端口。需要路由上行或其他wifi交换机进行通信,认证协议请求报文都需要通过此路由端口。交换芯片的其他端口用来当普通业务端口用,可以设计为电口也可设计为光口,具体根据交换芯片的规格来定。82.具体来说,本发明实施例的三层路由协议、nat、iptable、vpn、wifi6用户管控、dhcp-server等业务功能由路由系统来完成;二层协议、vlan、mac管理、acl、端口隔离、二层环路协议、igmp-snooping、dot1x、radius等功能协议由交换系统来完成,形成双系统交换机,提升了业务处理效率,保证了系统稳定性,开发和应用更加灵活。可以灵活切换交换芯片或路由处理芯片,从而实现快速迭代,应对各种市场需求。83.本发明实施例还提供了一种基于wifi6的双系统无线交换机的通信方法,应用于如基于wifi6的双系统无线交换机,方法包括:84.步骤1,双系统无线交换机上电,路由系统和交换系统同时启动运行,运行稳定后自动启动认证任务进程;85.步骤2,基带信号处理芯片的端口默认为桥接模式,桥接模式下的无线路由处理芯片既是热点ap,也是终端接入,无线路由处理芯片发起热点,并连接无线网络;86.步骤3,无线路由处理芯片通过配置访问控制列表acl,制定过滤规则,允许认证协议请求报文发送至内部的中央处理器,并将访问控制列表acl同步下发至交换芯片;87.步骤4,无线路由处理芯片按照协议报文格式对认证协议请求报文进行封装,并将将封装好的认证协议请求报文发送至接收设备的路由处理芯片进行合法性校验,得到合法的认证协议请求报文;88.步骤5,当接收设备匹配到合法的认证协议请求报文后,接收设备按照协议报文格式封装应答报文,双系统无线交换机根据应答报文与接收设备进行安全认证,认证成功则建立连接。89.具体来说,本发明实施例可以工作在路由或桥接两种模式,桥接模式下可以使多台交换机通过wifi6进行连接,形同一根网线直连。路由模式下,此交换机其他业务端口数据,以及与其他交换机通过wifi6接口交互的数据,都可以通过无线路由处理芯片对外的wan口与上行设备通信,或通过wan口接入运营商互联网络中。90.具体来说,双系统无线交换机与其他双系统无线交换机通过wifi6建立通信组成业务组网;91.其中,业务组网内的任意一台双系统无线交换机为主机设备,业务组网内除主机设备以外的其他双系统无线交换机为从机设备,主机设备通过选路认证与从机设备建立首次连接;92.业务组网内的主机设备与从机设备之间通过无线桥接相互认证方式进行安全认证。93.具体来说,无线桥接相互认证方式,包括:94.步骤1,主机设备与从机设备均上电,主机设备中的路由系统和交换系统同时启动运行,运行稳定后自动启动认证任务进程;95.步骤2,将主机设备中基带信号处理芯片的端口默认的桥接模式转换为路由模式,路由模式下的无线路由处理芯片发起热点,从机设备向主机设备发送连接请求;96.步骤3,主机设备中的无线路由处理芯片通过配置访问控制列表acl,制定过滤规则,允许认证协议请求报文发送至内部的中央处理器,并将访问控制列表acl同步下发至交换芯片;97.步骤4,无线路由处理芯片按照协议报文格式对认证协议请求报文进行封装,并将将封装好的认证协议请求报文发送至从机设备的无线路由处理芯片进行合法性校验,得到合法的认证协议请求报文;98.步骤5,当从机设备匹配到合法的认证协议请求报文后,从机设备按照协议报文格式封装应答报文,主机设备根据应答报文与从机设备进行安全认证。99.本发明实施例与其他双系统无线交换之间通过无线桥接相互认证方式进行安全认证,1号双系统无线交换机作为主机设备,其中的无线路由处理芯片工作在路由模式,2号、3号、4号和5号双系统无线交换机作为从机设备,其中的无线路由处理芯片都工作在桥接模式,无线路由处理芯片中的中央处理器cpu对业务报文数据只进行数据链路层处理和转发,所有从机设备使用的wifi6既是热点ap,也是终端接入,无线路由处理芯片通过wifi6作为热点,允许下级设备通过wifi6接入本设备网络,同时自身通过wifi6终端模式接入上行设备。而作为主机设备使用的wifi6仅为热点ap模式,每个设备的服务设置标识(servicesetidentifier,ssid)通过本发明实施例定义的映射方式自动生成,以便于设备之间自动进行服务设置标识ssid认证和连接。100.设备默认服务设置标识ssid生成算法如下:服务设置标识ssid默认前缀一致,统一为一段固定字符串(如frapsw_xx)其中frapsw_为前缀,主要用于标识为本发明实施例中设备的服务设置标识ssid,后缀xx确保每台设备不一致,由无线路由处理芯片mac地质经过一定运算生成:unsignedintvalue=((mac[3]|mac[5]) (mac[4]|mac[3]) (mac[5]|mac[4]))&0xff;[0101]value=(value&mac[5] value|(mac[5] 3))&0xff;[0102]然后将value用十六进制格式化输出字符串后缀xx;[0103]例如:如果value运算结果为0xf6,则当前服务设置标识ssid号为frapsw_f6;用户也可以通过本地登录基于wifi6的双系统无线交换机自己设定服务设置标识ssid,但需尽量保持前缀一致,便于自动连接,否则需要用户手动连接上级热点ap。[0104]服务设置标识ssid(如frapsw_xx)需要默认密码,便于组网系统下本发明实施例的双系统无线交换机自动与其他双系统无线交换机连接。对应的默认密码生成方法:通过当前连接热点ap的源mac地址、上述后缀xx对应的value值、key码,经过一定运算生成。[0105]定义key[6]={0x1a、0x58、0x66、0xb5、0xe9、0xfb},unsignedintpasswd=(((mac[5] value)|key[0])&0xff)《《24 (((mac[4] value)|key[1])&0xff)《《16 (((mac[3] value)|key[2])&0xff)《《8 (((mac[2] value)|key[3])&0xff)《《8 mac[1] mac[2] key[4] key[5]。[0106]密码前缀默认固定(如wifi_yyyyyyyy),wifi_为前缀,yy值为passwd作为十六进制格式化字符串输出值。例如:如果passwd运算值为0xa893fed6,则连接的ssid密码为wifi_a893fed6。[0107]具体来说,本发明实施例的认证协议采用二层私有协议,二层私有协议一般情况下手机或笔记本无法截取报文,会被手机或电脑操作系统作为非法报文默认丢弃,需要特殊的工具才能窃取,相对较安全。认证协议请求报文格式如下图3所示,报文目的mac为组播地址01:80:c2:17:04:17,但不限于此组播mac;源mac地址为交换机本身mac;以太网协议类型为0x1771,但不限于此协议号;报文数据内容包含有报文类型、校验码、优先级、默认vlan等信息。其中报文类型为本协议的tlv报文类型,不同的消息交互可以采用不同报文类型定义;校验码是用来校验设备与设备之间协议通信统一标识,如果校验码不一致,则会认为报文非法,丢弃此报文,因此认证失败;本发明的校验码通过源mac地址、默认vlan和key值,按照一定算法生成,生成算法如下:[0108]定义charkey[16]:[0109]charkey[16]={0x11,0x33,0x56,0x12,0xa5,0x30,0xb6,0x1c,0x98,0x3d,0xbf,0x88,0xb2,0x1c,0x1e,0x26};[0110]checksum=(mac[0]&key[0] mac[1]&key[1] mac[2]&key[2] mac[3]&key[3]) ((mac[4]&key[4] mac[5]&key[5] vlan[0]&key[6] vlan[1]&key[7])&0xff)《《8 ((mac[0]|key[8] mac[1]|key[9] mac[2]|key[10] mac[3]|key[11])&0xff)《《16 ((mac[4]|key[12] mac[5]|key[13] vlan[0]|key[14] vlan[1]|key[15])&0xff)《《24。[0111]默认vlan即为交换芯片与基带信号处理芯片对接的端口(如图1端口27、28)的端口pvid(端口默认vlanid),所以通过wifi6对接的交换机,都需协商统一将无线对接的mac端口的pvid设置成一样,配置为4094,如果4094协商失败,则往下递减,直到相互都满足的vlanid为止。优先级即默认vlan协商的时候,以优先级较高的交换机的pvid为参考。[0112]本发明实施例的安全认证方式流程如下:[0113]基于wifi6的双系统无线交换机上电,路由系统和交换系统同时启动运行;系统运行稳定后,由于交换机中与基带信号处理芯片的接口转发模式默认为桥接模式,如果设备需要作为主机设备(即顶层出口路由设备),则需将桥接模式改为路由模式,桥接模式下无线路由处理芯片的dhcp-server功能为关闭状态,路由模式下路由模块的dhcp-server功能为开启状态,所有dhcp客户端终端设备ip地址都由主设备的无线交换机来分配,桥接模式的无线交换机的ip地址可以手动配置为静态地址,也可以开启dhcp-client自动获取。[0114]路由系统运行稳定后,自动启动本发明实施例的认证任务进程,桥接模式下的无线路由处理芯片会自动发起向ssid前缀和自身ssid前缀一致的ap热点,并发起连接请求,通过抓取将要连接的ap热点发出的deacon帧或proberesponse帧,通过分析报文以太网帧头内容,提取报文源mac得到热点ap的mac地址,然后系统根据mac地址、ssid号后缀值、算法key计算(具体算法如上描述:无线桥接安全认证方式)得出此ssid对应密码,从而连接到热点ap网络。[0115]无线路由处理芯片通过配置访问控制列表acl功能,指定过滤规则,允许目的mac为本发明实施例的任务认证协议的mac,协议号为认证报文协议类型的协议号,且入端口号为与基带信号处理芯片相接的端口的认证协议请求报文发往无线路由处理芯片的内置中央处理器cpu中,其他报文如果没有802.1q头或802.1q中携带的vlanid为默认vlan则丢弃;无线路由处理芯片通过私有协议将此配置同步给交换芯片,交换芯片进行同步硬件配置。[0116]组网系统下的双系统无线交换机首次建立连接时,需要进行选路认证,通过本发明实施例的选路方法,选择一条距离最近、信号最强的上级无线热点ap进行连接并保存数据,以便下次登录无需再进行选路。选路方式为无线路由处理芯片连接热点ap后,作为下级从机设备的交换机的无线路由处理芯片回发送如图3所示的认证协议请求报文,向上级作为热点ap的交换机请求认证。通过按照如图3所示的报文结构封装本发明实施例的认证协议请求报文,tlv报文内容从交换机保存配置中获取,如果没有保存的配置,则采用默认值填充,校验码通过上述算法生成并填充。报文类型为选路请求报文。上级交换机收到请求报文后,会进行认证,认证通过回复如图3所示的报文格式的应答报文,报文类型为选路应答报文,tlv报文内容将填入hops值,即热点ap无线交换机距离主无线交换机的跳数,跳数越小,则距离越近。下级交换机收到应答报文后,提取报文内容hops值,无线交换机通过所连接的热点ap的信号强度值、距离主无线交换机hops值,来决定与哪个热点ap建立上下连接关系,信号强度强的热点ap优先,如果信号强度一致,则以hops值越小的热点ap优先连接。系统通过首次选路得到最优路径后,会保存此最优连接的热点ap的ssid到flash中,自身的hops值相应加1,下次设备起来后会直接和保存在flash中的ssid建立连接,从而无需再次反复选路,只有当保存的ssid网络中无法发现或连接失败,才会重新唤醒选路流程,重新扫描热点ap,选择连接最优的热点。[0117]然后从与基带信号处理芯片相接的端口将校验码和认证协议请求报文发送给无线路由处理芯片,无线路由处理芯片收到报文后发往片上系统,片上系统将报文送往认证处理任务,通过解析报文内容,根据报文携带的源mac和默认vlan,通过校验码生成算法生成校验和checksum,如果校验和与报文携带的校验码一致,则认为合法,如果不匹配则丢弃,则无法相互同步默认vlan等信息,因此无法建立连接。[0118]路由系统与交换系统之间的配置同步和业务转发都通过之间连接的路由端口port0进行,配置数据通过私有协议方式同步,路由系统作为外界命令接收入口,将vlan、acl等配置数据通过私有协议方式同步给交换系统,交换系统根据配置内容,对交换芯片进行相应配置。[0119]从机设备的无线路由处理芯片匹配到合法校验的认证协议请求报文后,则同样在中央处理器cpu中以图3所示的报文格式封装应答报文,报文类型为应答,其他tlv数据填充和请求报文一致。通过相互协商默认vlan,如果自身默认vlan和对端不一致,则以优先级最高的默认vlan为准,将路由端口(port0)默认vlan改为最高优先级的vlan。同时将路由端口(port0)vlan类型改为trunk模式,即业务报文从此端口出去都会添加对应的转发vlanid的802.1q头。[0120]本发明实施例采用上述的认证方式,可以允许指定的手机或pc通过wifi登录交换机,并对交换机进行本地管理,极大的降低了设备管理难度,摒弃了传统接入网线或串口线管理交换机的方式;且在通过手机管理交换机设备时,交换机设备无需接入互联网,这和传统的云端管理和物联网管理方式不一样,传统方式是需要交换机本身能接入到互联网络。[0121]通过上述认证协议后,通过方法一:每台双系统无线交换机可以把路由端口,当作普通业务端口进行配置;如果两台双系统无线交换机通过wifi6进行通信,如上图二组网业务图,如果2号和3号双系统无线交换机下面的两台pc之间要组成同一个局域网,则2号和3号双系统无线交换机通过配置同一vlan,并将同一网段的终端相接的端口划分到此vlan下,这样形成一个虚拟局域网,即地址为同一网段。同时默认将与无线路由处理芯片相接的mac端口也加入到此vlan下;由于交换芯片的路由端口为trunk模式,非默认vlan转发的报文,从此端口出去都会携带转发vlan的802.1q以太网报文。而其他手机、平板、笔记本电脑、普通无线路由器等默认发送的wifi数据报文,由于不携带802.1q,即为untag报文,则会以默认vlan转发,根据上述设置的acl过滤规则,则会被丢弃。这样能有效防止一些非法终端接入交换网络,也能避免非法终端意图盗窃业务报文。[0122]方法二:在双系统无线交换机的普通端口设置成customer端口属性,基于innervlan转发,在交换机路由端口设置为uplink端口属性,基于outervlan转发,普通端口业务报文从uplink端口出去,采用双tag方式,在intervlantag头前插入一层基于路由和mac相接的端口默认vlan的tag头。接收端的双系统无线交换机收到双tag报文后,基于qinq(802.1q-in-802.1q)方式的安全过滤方法,通过vlan检查过滤,再剥掉外层tag,然后以内层tag来进行业务转发;通过配置acl规则,如果与基带信号处理芯片相接的端口收到数据报文(本发明实施例的认证协议请求报文除外)没有双tag标记,且外层tagvlanid不等于默认vlan,则丢弃;这种处理方式更能起到很好的业务数据安全保护作用。[0123]方法三:交换机通过在认证协议报文中,将本设备所配置的所有vlan列表,作为数据内容填入报文tlv中,携带出去。对与基带信号处理芯片相接的端口收到认证协议报文,认证通过后,获取对应的vlan列表。此时,基于业务vlan的过滤方法,交换机通过下发acl规则,对与基带信号处理芯片相接的端口进来的报文进行过滤,仅允许报文tagvlanid为此vlan列表中的vlan通过,如果携带的是其他vlanid的802.1q报文则丢弃,如果报文为untag报文(非认证协议报文),同样丢弃。这种处理方式更能起到针对性的业务数据安全保护作用,但会占用较多的acl表现资源。[0124]以上三种过滤方法,都是通过硬件过滤,不会影响转发性能和延时,即无需cpu参与。所以采用本发明实施例的基于wifi6的双系统无线交换机,从有线网口进入的业务报文能实现全速通过wifi6转发出去,同时从wifi6无线进入的报文也能全速转发到交换机其他网口。[0125]本发明采用的安全认证方式,理论上是只有认证协议请求报文才有可能通过与基带信号处理芯片相接的端口送上无线路由处理芯片内置的中央处理器cpu处理,其他报文则发往交换机其他业务端口或wifi桥接转发出去,如果满足acl丢弃过滤规则,则被过滤丢弃。但是如果用户想通过某台手机或笔记本电脑通过无线wifi对双系统无线交换机进行本地管理,则需要将手机或笔记本电脑报文发往交换机的片上系统,而不被过滤。[0126]方法一:此时手机或笔记本需要安装一个本发明认证协议的应用软件,通过应用软件向wifi网络接口发送认证管理协议请求,请求双系统无线交换机管理授权,授权后,交换机会将管理终端设备的mac,写入高优先级的acl规则,允许源mac匹配此acl规则mac的报文通过,即达到管理双系统无线交换机的目的。[0127]方法二:双系统无线交换机提前将需要接入管理交换机的终端设备的mac地址保存,下发允许源mac为此mac的报文通过与基带信号处理芯片相接的端口的acl,并保存此配置,从而实现终端正常与交换机的片上系统通信。[0128]本发明实施例包括路由系统和交换系统;路由系统包括无线路由处理芯片、基带处理芯片、信号调制解调单元、功率放大单元、wifi天线、第一固态存储器和第一动态存储器;交换系统包括交换芯片、物理接口收发芯片、片上系统第二固态存储器和第二动态存储器;通过构建双系统,且路由系统和交换系统都单独设有存储器,提高了无线交换机系统的稳定性;通过wifi天线接收信号,并将信号传输给信号调制解调单元和功率放大单元进行解调放大后发送至用于编解码wifi6信号数据的基带信号处理芯片,通过基带信号处理芯片进行处理后发送至设有网口和中央处理器的无线路由处理芯片,无线路由处理芯片配置访问控制列表acl并同步下发至交换芯片,无线路由处理芯片收到认证协议请求报文后通过中央处理器进行合法性校验,得到合法的认证协议报文后,并通过无线路由处理芯片封装认证协议应答报文,通过wifi天线或网口发送给接收设备,从而实现和上行设备或运营商网络互联互通,提升了业务处理效率,且相比传统通过网线或光纤线对接的方式,本发明对部署位置没有要求,可以灵活移动位置,安装更为方便。[0129]以上所述是本发明的优选实施方式,应当指出,对于本
技术领域:
:的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。当前第1页12当前第1页12
再多了解一些
本文用于创业者技术爱好者查询,仅供学习研究,如用于商业用途,请联系技术所有人。
