[发明专利]无线服务网络中报文的处理方法、系统和设备

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种无线服务网络中报文的处理方法、系统和设备。

背景技术

当前，WIFI(wireless fidelity，无线保真技术)无线局域网的应用已经越来越普及。从手机，PC，笔记本电脑到其他WIFI移动设备。有越来越多的用户需要通过WIFI网络连接到Internet。早期的设备只能支持创建一个BSS(Basic Service Set，基本服务集)，也就是一个AP(Access Point，接入点)只能为用户提供一个“无线网络”，而且该网络上的所有用户的权限基本都相同。而随着当前无线网络的普及，产生了一个AP接入点提供多个无线网络的需求。

举例而言，各机构会有携带WIFI设备的访客，而且这些WIFI设备需要和因特网连接。现有技术中为了满足这些作为非可信用户的访客的上网需求，通常会在相同的AP接入点上提供多个无线网络。例如在同一个AP上创建2个BSS，其中一个称为Public并供访客使用，另一个称为Corporate并供内部用户使用。访客只能加入Public网络，之后可以访问Internet，但不能访问内部网络。而内部用户可以加入到Corporate网络后，能够访问内部网络。该实例中的每个BSS都相当于一个虚拟AP，拥有自己的SSID(Service Set Identifier，服务集标识)，MAC(Media Access Control，媒体访问控制)地址、身份验证设置和加密设定，并使用不同的安全策略。

为了实现上述虚拟AP之间的隔离和访问控制，现有技术中一般使用VLAN(Virtual Local Area Network，虚拟局域网)技术。以图1所示的组网环境为例，为每个BSS分配一个VLAN，不同VLAN之间不能相互访问。AP的上行端口是Trunk口，可以用于传送不同VALN的数据。而Public网络属于VLAN1，Corporate网络和内网的Authentication Server(鉴权服务器)属于VLAN2。因为属于不同的VLAN，Public网络用户无法访问Corporate无线网络和内网的鉴权服务器，即通过划分不同的VLAN实现了不同BSS的访问控制。

发明人发现现有技术中的实现方式存在以下问题：

在现有BSS的应用中，需要另外部署具有VLAN功能的交换机并对AP和交换机进行配置，这增加了系统的成本和配置复杂度。另外，通过VLAN划分实现不同BSS的访问控制时，在访问控制的实现上不够灵活。

发明内容

本发明的实施例提供一种无线服务网络中报文的处理方法、系统和设备，降低了系统的成本和配置复杂度。

本发明的实施例提供一种无线服务网络中报文的处理方法，应用于配置有多个无线服务网络的接入点AP设备中，每个所述无线服务网络通过基本服务集BSS进行区分，每个BSS具有不同的虚拟局域网接口VLANIF，所述方法包括：

为所述多个BSS分配VLAN并为每个BSS创建相应的VLANIF；将所述VLANIF加入特定的安全区域；设置所述VLANIF加入的第一安全区域与外部网络接口加入的第二安全区域间的安全策略；

接收BSS中的VLANIF与外部网络接口之间交互的报文；

获取所述VLANIF所加入的第一安全区域、以及所述外部网络接口所加入的第二安全区域；

根据所述第一安全区域和所述第二安全区域间的安全策略对所述报文进行处理。

本发明的实施例还提供一种接入点AP设备，所述AP设备上配置有多个无线服务网络，每个所述无线服务网络通过BSS进行区分，每个BSS具有不同的VLANIF，所述AP设备包括：

报文接收单元，用于接收BSS中的VLANIF与外部网络接口之间交互的报文；

配置单元，用于为所述多个BSS分配VLAN并为每个BSS创建相应的VLANIF；将所述VLANIF加入特定的安全区域；设置所述VLANIF加入的第一安全区域与外部网络接口加入的第二安全区域间的安全策略；

安全区域获取单元，用于获取所述VLANIF所加入的第一安全区域、以及所述外部网络接口所加入的第二安全区域；

报文处理单元，用于根据所述第一安全区域和所述第二安全区域间的安全策略对所述报文进行处理。

本发明的实施例还提供一种网络系统，所述AP设备上配置有多个无线服务网络，每个所述无线服务网络通过基本服务集BSS进行区分，每个BSS具有不同的VLANIF，