[发明专利]无线网络用户隔离方法、单元及设备

说明书

技术领域

本发明涉及无线网络安全技术领域，尤其涉及一种无线网络用户隔离方 法、单元及设备。

背景技术

在现有的无线网络，如无线局域网(Wireless Local Area Network， 简称：WLAN)中，由于无线用户的流动性和不确定性，需要对用户之间的 互访进行隔离。用户隔离包括同一个接入点(Access Point，简称：AP)下 的用户隔离和同一个接入控制器(Access Controller，简称：AC)下的用 户隔离。现有技术中实现用户隔离的方式主要有以下三种：

方式1：同一AP内部采用媒体访问控制(Media Access Controlling， 简称：MAC)层的互访控制原理隔离用户，确保同一AP下的不同用户之间 不能二层相通；

方式2：不同AP之间采用MAC地址访问控制或组网汇聚设备二层隔离 技术，如虚拟局域网(Virtual Local Area Network，简称：VLAN)等进行 隔离，以保证不同AP下的用户不能直接相通；

方式3：AC通过用户访问控制列表(Access Control List，简称：ACL) 的三层互控访问，使所有用户只有通过AC认证后才能进行三层受控互通。

但是，现有的用户隔离技术中，有的仅限于MAC地址控制，有的则需 要利用VLAN隔离功能及三层认证，操作实施复杂。

发明内容

本发明提供一种无线网络用户隔离方法、单元及设备，用以简便地实现 无线网络用户隔离。

本发明一实施例提供一种无线网络用户隔离方法，其中包括：

接收到无线数据包后，从转发结果中获取转发信息；

当判断出启用接入点用户隔离时，判断所述转发信息中携带的源接口和 目的接口是否属于同一个接入点；

当判断出所述的源接口和目的接口属于同一个接入点时，丢弃所述无 线数据包。

本发明另一实施例提供一种无线网络用户隔离控制单元，其中包括：

信息获取模块，用于当接收到无线数据包后，从转发结果中获取转发信 息；

第一判断模块，用于判断是否启用接入点用户隔离；

第二判断模块，用于当第一判断模块判断出启用接入点用户隔离时，判 断所述转发信息中携带的源接口和目的接口是否属于同一个接入点；

数据包处理模块，用于当第二判断模块判断出所述的源接口和目的接 口属于同一个接入点时，丢弃所述无线数据包。

本发明再一实施例提供一种接入点设备，其中包括：上述无线网络用 户隔离控制单元。

本发明又一实施例提供一种接入控制器设备，其中包括：上述无线网 络用户隔离控制单元。

本发明通过基于转发信息，如六元组信息，判断目的接口是否属于同 一个接入点实现了AP用户隔离，不需要利用VLAN隔离功能及三层认证， 因此，既可以用于二层交换过程，也可以用于三层路由过程，操作实施简 便。并且，该方法对原有的数据存储结构、数据交换和转发性能基本没有 影响。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图作一简单介绍，显而易见地，下面 描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不 付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明所述无线网络用户隔离方法实施例一的流程图；

图2为本发明所述无线网络用户隔离方法实施例二的流程图；

图3为本发明所述无线网络用户隔离方法实施例三的流程图；

图4为本发明所述无线网络用户隔离方法实施例四的流程图；

图5为本发明所述无线网络用户隔离单元实施例一的结构示意图；

图6为本发明所述无线网络用户隔离单元实施例二的结构示意图；

图7为本发明所述无线网络用户隔离单元实施例三的结构示意图；

图8为本发明所述无线网络用户隔离单元实施例四的结构示意图。

具体实施方式