一種用戶隔離方法及裝置制造方法及圖紙

本發(fā)明專利技術實施例提供了一種用戶隔離方法及裝置，應用于AC，所述方法包括：接收第一無線客戶端向第二無線客戶端發(fā)送的訪問報文；當使能第一用戶隔離功能且所述訪問報文的源IP地址和目的IP地址均為動態(tài)IP地址時，確定所述訪問報文的源IP地址和目的IP地址是否為同一地址池的IP地址；如果是，丟棄所述訪問報文；如果否，將所述訪問報文發(fā)送給所述第二無線客戶端。應用本發(fā)明專利技術實施例，擴大了用戶隔離的覆蓋范圍。

【技術實現(xiàn)步驟摘要】
一種用戶隔離方法及裝置
本專利技術涉及通信
，特別是涉及一種用戶隔離方法及裝置。
技術介紹
為了提高無線客戶端的安全，緩解AC(AccessController，接入控制器)的轉發(fā)壓力，以及減少射頻資源的消耗，可以對無線客戶端進行用戶隔離，例如，在同一公司的同一個辦公室的無線客戶端間可以進行用戶隔離，禁止無線客戶端間互訪問。目前，用戶隔離一般為基于SSID(ServiceSetIdentifier，服務集標識)的用戶隔離，隔離同一SSID下的無線客戶端。具體為，若兩個無線客戶端通過同一SSID接入網(wǎng)絡，則禁止這兩個無線客戶端間相互訪問。上述基于SSID的用戶隔離方法靈活性較好，但僅能針對同一SSID下的無線客戶端進行隔離，覆蓋范圍小。
技術實現(xiàn)思路
本專利技術實施例的目的在于提供一種用戶隔離方法及裝置，以擴大用戶隔離的覆蓋范圍。具體技術方案如下：一方面，本專利技術實施例公開了一種用戶隔離方法，應用于AC，所述方法包括：接收第一無線客戶端向第二無線客戶端發(fā)送的訪問報文；當使能第一用戶隔離功能且所述訪問報文的源IP(InternetProtocol，網(wǎng)絡地址)地址和目的IP地址均為動態(tài)IP地址時，確定所述訪問報文的源IP地址和目的IP地址是否為同一地址池的IP地址；如果是，丟棄所述訪問報文；如果否，將所述訪問報文發(fā)送給所述第二無線客戶端。另一方面，本專利技術實施例公開了一種用戶隔離裝置，應用于AC，所述裝置包括：第一接收單元，用于接收第一無線客戶端向第二無線客戶端發(fā)送的訪問報文；確定單元，用于當使能第一用戶隔離功能且所述訪問報文的源IP地址和目的IP地址均為動態(tài)IP地址時，確定所述訪問報文的源IP地址和目的IP地址是否為同一地址池的IP地址；丟棄單元，用于在所述確定單元確定所述訪問報文的源IP地址和目的IP地址為同一地址池的IP地址，丟棄所述訪問報文；發(fā)送單元，用于在所述確定單元確定所述訪問報文的源IP地址和目的IP地址不為同一地址池的IP地址，將所述訪問報文發(fā)送給所述第二無線客戶端。本專利技術實施例提供了一種用戶隔離方法及裝置，AC接收第一無線客戶端向第二無線客戶端發(fā)送的訪問報文；當使能第一用戶隔離功能且該訪問報文的源IP地址和目的IP地址均為動態(tài)IP地址時，確定訪問報文的源IP地址和目的IP地址是否為同一地址池的IP地址；如果是，則丟棄該訪問報文；如果否，則將該訪問報文發(fā)送給第二無線客戶端。可見，本專利技術實施例中，無論同一SSID下的還是不同SSID下的無線客戶端，只要從同一地址池中獲取IP地址，就可以實現(xiàn)用戶隔離，不再受制于單個SSID的用戶隔離的限制，擴大了用戶隔離的覆蓋范圍。當然，實施本專利技術的任一產(chǎn)品或方法必不一定需要同時達到以上所述的所有優(yōu)點。附圖說明為了更清楚地說明本專利技術實施例或現(xiàn)有技術中的技術方案，下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本專利技術的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1為本專利技術實施例提供的一種用戶隔離方法的流程示意圖；圖2為本專利技術實施例提供的一種用戶隔離裝置的結構示意圖。具體實施方式下面將結合本專利技術實施例中的附圖，對本專利技術實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本專利技術一部分實施例，而不是全部的實施例。基于本專利技術中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本專利技術保護的范圍。下面通過具體實施例，對本專利技術進行詳細說明。參考圖1，圖1為本專利技術實施例提供的一種用戶隔離方法的流程示意圖，應用于AC，該方法包括：S101：接收第一無線客戶端向第二無線客戶端發(fā)送的訪問報文；這里，第一無線客戶端向第二無線客戶端均為在AC上已上線的無線客戶端，該AC已為第一無線客戶端向第二無線客戶端分配了IP地址。S102：當使能第一用戶隔離功能且該訪問報文的源IP地址和目的IP地址均為動態(tài)IP地址時，確定該訪問報文的源IP地址和目的IP地址是否為同一地址池的IP地址；如果是，執(zhí)行S103；否則，執(zhí)行S104；在本專利技術的一個實施例中，若未使能第一用戶隔離功能，則確定不需要對訪問報文進行隔離，AC將訪問報文直接發(fā)送給第二無線客戶端。在本專利技術的一個實施例中，為了靈活的控制用戶隔離功能，該第一用戶隔離功能可以設置在AC上，AC轉發(fā)訪問報文時需要確認是否具有此功能，并根據(jù)確認結果決策是否進行用戶隔離。S103：丟棄該訪問報文；S104：將該訪問報文發(fā)送給第二無線客戶端。在本專利技術的一個實施例中，接收第一無線客戶端向第二無線客戶端發(fā)送的訪問報文之前，第一無線客戶端和第二無線客戶端已在AC上上線。具體地，無線客戶端上線的過程可以包括：S01、第一無線客戶端或者第二無線客戶端向AC發(fā)送上線請求；S02、AC接收到上線請求后，首先判斷該上線請求中攜帶的第一無線客戶端或者第二無線客戶端的MAC(MediaAccessControl，媒體訪問控制)地址是否為預設MAC地址；這里，預設MAC地址為不需要用戶隔離的特殊無線客戶端的MAC地址。每一無線客戶端的MAC地址都是不同，根據(jù)預設MAC地址，能夠準確地確定出不需要用戶隔離的特殊無線客戶端。S03、如果上線請求中攜帶MAC地址是預設MAC地址，則AC為第一無線客戶端或者第二無線客戶端配置靜態(tài)IP地址；為這些特殊無線客戶端分配靜態(tài)IP地址，這些特殊無線客戶端的地址表項中就不會包括地址池的標識，進而AC不會對這些特殊無線客戶端進行用戶隔離。這種情況下，若接收到的訪問報文的源IP地址、目的IP地址中有一個為靜態(tài)IP地址，則無論是否使能第一用戶隔離功能，都可以直接將該訪問報文發(fā)送給第二無線客戶端。S04、如果上線請求中攜帶MAC地址不是預設MAC地址，則AC從本地的地址池中獲取動態(tài)IP地址，并分配給第一無線客戶端或者第二無線客戶端；這種情況下，AC上具有DHCP(DynamicHostConfigurationProtocol，動態(tài)主機配置協(xié)議)服務器，可以在AC上預先設置每一無線客戶端對應的地址池，并且將需要用戶隔離的無線客戶端都對應同一地址池。無線客戶端上線時，若上線請求中攜帶MAC地址不是預設MAC地址，AC從該無線客戶端對應的地址池中獲取動態(tài)IP地址，以保證能夠通過地址池對無線客戶端進行用戶隔離。S05、AC在使能第二用戶隔離功能的情況下，生成針對第一無線客戶端或者第二無線客戶端的地址表項，該地址表項包括第一無線客戶端或者第二無線客戶端的IP地址所屬地址池的標識。當使能第二用戶隔離功能時，生成的針對第一無線客戶端或者第二無線客戶端的地址表項中包括地址池的標識；若未使能第二用戶隔離功能，生成針對第一無線客戶端或者第二無線客戶端的地址表項中不包括地址池的標識。這樣有效地提高了用戶隔離的靈活性。例如，第一無線客戶端的MAC地址為MAC1，第一無線客戶端的IP地址為IP1，預先設置的該第一無線客戶端對應的地址池為A，當使能第二用戶隔離功能時，生成的針對第一無線客戶端的DHCP地址表項可參考表1；表1IP地址MAC地址地址池標識IP1MAC1A當未使能第二用戶隔離功能時，生成的針對第一無線客戶端的DHCP地址表項本文檔來自技高網(wǎng)...

【技術保護點】
一種用戶隔離方法，其特征在于，應用于接入控制器AC，所述方法包括：接收第一無線客戶端向第二無線客戶端發(fā)送的訪問報文；當使能第一用戶隔離功能且所述訪問報文的源網(wǎng)絡協(xié)議IP地址和目的IP地址均為動態(tài)IP地址時，確定所述訪問報文的源IP地址和目的IP地址是否為同一地址池的IP地址；如果是，丟棄所述訪問報文；如果否，將所述訪問報文發(fā)送給所述第二無線客戶端。

【技術特征摘要】
1.一種用戶隔離方法，其特征在于，應用于接入控制器AC，所述方法包括：接收第一無線客戶端向第二無線客戶端發(fā)送的訪問報文；當使能第一用戶隔離功能且所述訪問報文的源網(wǎng)絡協(xié)議IP地址和目的IP地址均為動態(tài)IP地址時，確定所述訪問報文的源IP地址和目的IP地址是否為同一地址池的IP地址；如果是，丟棄所述訪問報文；如果否，將所述訪問報文發(fā)送給所述第二無線客戶端。2.根據(jù)權利要求1所述的方法，其特征在于，在所述接收第一無線客戶端向第二無線客戶端發(fā)送的訪問報文的步驟之后，所述方法還包括：當所述訪問報文的源IP地址和/或目的IP地址為靜態(tài)IP地址時，將所述訪問報文發(fā)送給所述第二無線客戶端。3.根據(jù)權利要求2所述的方法，其特征在于，在所述接收第一無線客戶端向第二無線客戶端發(fā)送的訪問報文的步驟之前，所述方法還包括：接收所述第一無線客戶端或者所述第二無線客戶端的上線請求；判斷所述上線請求中攜帶的所述第一無線客戶端或者所述第二無線客戶端的媒體訪問控制MAC地址是否為預設MAC地址；如果是，為所述第一無線客戶端或者所述第二無線客戶端配置靜態(tài)IP地址；如果否，從本地的地址池中獲取動態(tài)IP地址，并分配給所述第一無線客戶端或者所述第二無線客戶端；在使能第二用戶隔離功能的情況下，生成針對所述第一無線客戶端或者所述第二無線客戶端的地址表項，所述地址表項包括所述第一無線客戶端或者所述第二無線客戶端的IP地址所屬地址池的標識；所述確定所述訪問報文的源IP地址和目的IP地址是否為同一地址池的IP地址的步驟，包括：判斷針對所述第一無線客戶端的地址表項中包括的地址池的標識和針對所述第二無線客戶端的地址表項中包括的地址池的標識是否相同；如果是，判定所述訪問報文的源IP地址和目的IP地址為同一地址池的IP地址；如果否，判定所述訪問報文的源IP地址和目的IP地址不為同一地址池的IP地址。4.根據(jù)權利要求2所述的方法，其特征在于，在所述接收第一無線客戶端向第二無線客戶端發(fā)送的訪問報文的步驟之前，所述方法還包括：接收所述第一無線客戶端或者所述第二客戶端的上線請求；判斷所述上線請求中攜帶的所述第一無線客戶端或者所述第二無線客戶端的MAC地址是否為預設MAC地址；如果是，為所述第一無線客戶端或者所述第二無線客戶端配置靜態(tài)IP地址；如果否，從動態(tài)主機配置協(xié)議DHCP服務器獲取動態(tài)IP地址，并分配給所述第一無線客戶端或者所述第二無線客戶端；所述確定所述訪問報文的源IP地址和目的IP地址是否為同一地址池的IP地址的步驟，包括：向所述DHCP服務器查詢所述第一無線客戶端的IP地址和所述第二無線客戶端的IP地址是否為同一地址池的IP地址；在查詢結果為是時，判定所述訪問報文的源IP地址和目的IP地址為同一地址池的IP地址；在查詢結果為否時，判定所述訪問報文的源IP地址和目的IP地址不為同一地址池的IP地址。5.根據(jù)權利要求1所述的方法，其特征在于，在所述接收第一無線客戶端向第二無線客戶端發(fā)送的訪問報文的步驟之后，所述方法還包括：若未使能所述第一用戶隔離功能，將所述訪問報文發(fā)送給所述第二無線客戶端。6.一種用戶隔離裝置，其特征在于，應用于接入控制器AC，所述裝置包括：第一接收單元，用于接收第一無線客戶端向第二無線客戶端發(fā)送的訪問報文；確定單元，用于當使能第...

【專利技術屬性】
技術研發(fā)人員：王寧，
申請(專利權)人：新華三技術有限公司，
類型：發(fā)明
國別省市：浙江,33