專利名稱:無線服務(wù)網(wǎng)絡(luò)中報文的處理方法�、系統(tǒng)和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域����,尤其涉及一種無線服務(wù)網(wǎng)絡(luò)中報文的處理方 法、系統(tǒng)和設(shè)備�。
背景技術(shù):
當(dāng)前,WIFI (wireless fidelity �,無線保真4支術(shù))無線局域網(wǎng)的應(yīng)用已經(jīng)越 來越普及。從手機��,PC,筆記本電腦到其他WIFI移動設(shè)備�。有越來越多的用 戶需要通過WIFI網(wǎng)絡(luò)連接到Intemet。早期的設(shè)備只能支持創(chuàng)建一個BSS (Basic Service Set,基本服務(wù)集)���,也就是一個AP (Access Point,接入點) 只能為用戶提供一個"無線網(wǎng)絡(luò)"�,而且該網(wǎng)絡(luò)上的所有用戶的權(quán)限基本都相 同�����。而隨著當(dāng)前無線網(wǎng)絡(luò)的普及���,產(chǎn)生了一個AP接入點提供多個無線網(wǎng)絡(luò)的 需求��。
舉例而言�,各機構(gòu)會有攜帶WIFI設(shè)備的訪客�,而且這些WIFI設(shè)備需要 和因特網(wǎng)連接。現(xiàn)有技術(shù)中為了滿足這些作為非可信用戶的訪客的上網(wǎng)需求���, 通常會在相同的AP接入點上提供多個無線網(wǎng)絡(luò)�����。例如在同一個AP上創(chuàng)建2 個BSS����,其中一個稱為Public并供訪客使用,另 一個稱為Corporate并供內(nèi)部 用戶使用��。訪客只能加入Public網(wǎng)絡(luò)��,之后可以訪問Internet,但不能訪問內(nèi) 部網(wǎng)絡(luò)����。而內(nèi)部用戶可以加入到Corporate網(wǎng)絡(luò)后����,能夠訪問內(nèi)部網(wǎng)絡(luò)。該實 例中的每個BSS都相當(dāng)于一個虛擬AP��,擁有自己的SSID (Service Set Identifier,服務(wù)集標(biāo)識)����,MAC (Media Access Control,媒體訪問控制)地址、 身份驗證設(shè)置和加密設(shè)定��,并使用不同的安全策略���。
為了實現(xiàn)上述虛擬AP之間的隔離和訪問控制�����,現(xiàn)有技術(shù)中一般使用 VLAN (Virtual Local Area Network,虛擬局域網(wǎng))技術(shù)�。以圖1所示的組網(wǎng) 環(huán)境為例,為每個BSS分配一個VLAN����,不同VLAN之間不能相互訪問。AP 的上行端口是Trunk 口��,可以用于傳送不同VALN的數(shù)據(jù)���。而Public網(wǎng)絡(luò)屬
于VLAN1 ��, Corporate網(wǎng)絡(luò)和內(nèi)網(wǎng)的Authentication Server (鑒權(quán)服務(wù)器)屬于 VLAN2���。因為屬于不同的VLAN, Public網(wǎng)絡(luò)用戶無法訪問Corporate無線網(wǎng) 絡(luò)和內(nèi)網(wǎng)的鑒權(quán)服務(wù)器����,即通過劃分不同的VLAN實現(xiàn)了不同BSS的訪問控制。
發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中的實現(xiàn)方式存在以下問題
在現(xiàn)有BSS的應(yīng)用中�����,需要另外部署具有VLAN功能的交換機并對AP 和交換機進行配置,這增加了系統(tǒng)的成本和配置復(fù)雜度�����。另外�����,通過VLAN 劃分實現(xiàn)不同BSS的訪問控制時����,在訪問控制的實現(xiàn)上不夠靈活�。
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種無線服務(wù)網(wǎng)絡(luò)中報文的處理方法、系統(tǒng)和設(shè)備����, 降低了系統(tǒng)的成本和配置復(fù)雜度。
本發(fā)明的實施例提供一種無線服務(wù)網(wǎng)絡(luò)中報文的處理方法����,應(yīng)用于配置 有多個無線服務(wù)網(wǎng)絡(luò)的接入點AP設(shè)備中,每個所述無線服務(wù)網(wǎng)絡(luò)通過基本服 務(wù)集BSS進行區(qū)分���,每個BSS具有不同的虛擬局域網(wǎng)接口 VLANIF���,所述方 法包括
接收BSS中的VLANIF與外部網(wǎng)^^矣口之間交互的報文��;
獲取所述VLANIF所加入的第一安全區(qū)域�����、以及所述外部網(wǎng)絡(luò)接口所加
入的第二安全區(qū)域���;
根據(jù)所述第一安全區(qū)域和所述第二安全區(qū)域間的安全策略對所述報文進
行處理。
本發(fā)明的實施例還提供一種接入點AP設(shè)備��,所述AP設(shè)備上配置有多個 無線服務(wù)網(wǎng)絡(luò)���,每個所述無線服務(wù)網(wǎng)絡(luò)通過BSS進行區(qū)分����,每個BSS具有不 同的VLANIF,所述APi殳備包括
報文接收單元�����,用于接收BSS中的VLANIF與外部網(wǎng)絡(luò)接口之間交互的 報文��;
安全區(qū)域獲取單元,用于獲取所述VLANIF所加入的第一安全區(qū)域�、以 及所述外部網(wǎng)絡(luò)接口所加入的第二安全區(qū)域;
報文處理單元���,用于根據(jù)所述第一安全區(qū)域和所述第二安全區(qū)域間的安 全策略對所述報文進行處理��。
本發(fā)明的實施例還提供一種網(wǎng)絡(luò)系統(tǒng)����,所述AP設(shè)備上配置有多個無線服 務(wù)網(wǎng)絡(luò)�,每個所述無線服務(wù)網(wǎng)絡(luò)通過基本服務(wù)集BSS進行區(qū)分,每個BSS具 有不同的VLANIF��,
所述用戶終端�,用于接入BSS并通過所述BSS的VLAMF將需要向外部 網(wǎng)絡(luò)發(fā)送的報文向所述AP發(fā)送,并接收所述AP通過所述BSS的VLANIF 發(fā)送的來自外部網(wǎng)絡(luò)的報文��;
所迷AP,用于接收BSS中的VLANIF與外部網(wǎng)絡(luò)之間交互的報文��;獲 取所述VLANIF所加入的第一安全區(qū)域��、以及所述外部網(wǎng)絡(luò)接口所加入的第 二安全區(qū)域��;根據(jù)所述第 一安全區(qū)域和所述第二安全區(qū)域間的安全策略對所 述報文進行處理����。
與現(xiàn)有技術(shù)相比,本發(fā)明的實施例具有以下優(yōu)點
本發(fā)明的實施例中�����,為不同的BSS設(shè)置VLANIF����,接收BSS中通過
而不需要部署交換機就能筒便的實現(xiàn)對不同BSS的訪問控制,降低了系統(tǒng)的 成本和配置復(fù)雜度����。另外,通過設(shè)置不同的安全策略提高了訪問控制的靈活 度��。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對實 施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地��,下面 描述中的附圖僅僅是本發(fā)明的一些實施例���,對于本領(lǐng)域普通技術(shù)人員來講�, 在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖�����。 圖1是現(xiàn)有技術(shù)通過VLAN劃分實現(xiàn)不同BSS的訪問控制的示意圖����; 圖2是本發(fā)明實施例無線服務(wù)網(wǎng)絡(luò)中報文的處理方法流程圖; 圖3是本發(fā)明實施例配置AP的方法流程圖�����; 圖4是本發(fā)明實施例實現(xiàn)不同BSS的訪問控制的示意圖�;圖5是本發(fā)明實施例對BSS向外部網(wǎng)絡(luò)發(fā)送的報文進行處理的方法流程
圖; ' ���、" 口 '�����、'、�����、 、 ���、�����、'�、
圖7是本發(fā)明實施例提供的AP的結(jié)構(gòu)示意圖8是本發(fā)明實施例提供的AP的另一結(jié)構(gòu)示意圖�。
具體實施例方式
下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行 清楚�、完整地描述,顯然����,所描述的實施例僅僅是本發(fā)明一部分實施例,而 不是全部的實施例��?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作 出創(chuàng)造性勞動前提下所獲得的所有其他實施例�,都屬于本發(fā)明保護的范圍。
本發(fā)明的實施例提供了一種無線服務(wù)網(wǎng)絡(luò)中報文的處理方法���,應(yīng)用于配 置有多個無線服務(wù)網(wǎng)絡(luò)的接入點AP設(shè)備中���,每個多個無線服務(wù)網(wǎng)絡(luò)通過基本 服務(wù)集BSS進行區(qū)分�����,每個BSS具有不同的虛擬局域網(wǎng)接口 VLANIF( VLAN Interface,虛擬接口 )��。該方法如圖2所示�����,包括
步驟s201 ���、接收BSS中的VLANIF與外部網(wǎng)口之間交互的報文。
步驟s202��、獲取VLANIF所加入的第一安全區(qū)域��、以及外部網(wǎng)絡(luò)接口所 加入的第二安全區(qū)域�����。
步驟s203�、根據(jù)第一安全區(qū)域和第二安全區(qū)域間的安全策略對報文進行 處理。
本發(fā)明的實施例提供的上述方法中,為不同的BSS設(shè)置VLANIF,接收
行處理�。從而不需要部署交換機就能簡便的實現(xiàn)對不同BSS的訪問控制���,降 低了系統(tǒng)的成本和配置復(fù)雜度��。另外�,通過設(shè)置不同的安全策略提高了訪問 控制的靈活度�。
本發(fā)明的實施中,通過為BSS配置VLANIF,并將BSS的VLANIF加入 到安全區(qū)域�����,進而實現(xiàn)對BSS的訪問控制��。具體的����,在AP上創(chuàng)建BSS后,
給BSS分配VLAN,同時創(chuàng)建對應(yīng)的VLANIF接口����。通過VLAN的劃分,將 不同BSS劃分到不同的VLAN�,不同BSS無法相互訪問,從而通過VLAN可 以實現(xiàn)BSS間的隔離。在不進行其他配置的情況下��,BSS網(wǎng)絡(luò)內(nèi)的用戶終端 不可以訪問其他網(wǎng)絡(luò)����,如Internet或者內(nèi)部網(wǎng)絡(luò)。BSS要向其他網(wǎng)絡(luò)發(fā)送報文 時�,必須先將BSS的VLAMF加入到安全區(qū)域,并配置安全區(qū)域中的安全策 略�����,只有在BSS中待發(fā)送的報文符合安全區(qū)域的安全策略時�����,該報文才可以 發(fā)送到其他網(wǎng)絡(luò)�。
本發(fā)明實施例中,在AP進行BSS配置的具體方法如圖3所示��,包括以 下步驟
步驟s301��、在AP上創(chuàng)建BSS�����。
步驟s302、為BSS分配VLAN,并同時創(chuàng)建VLANIF����。
步驟s303、在AP上為VLANIF配置IP地址���,并同時配置VLANIF的
DHCP服務(wù)器。該DHCP服務(wù)器用于向后續(xù)接入該BSS的用戶終端分配IP地址�。
步驟s304、將VLANIF加入到特定的安全區(qū)域��。 具體的�,該安全區(qū)i或可以為DMZ區(qū)域。
步驟s305��、配置不同安全區(qū)域間的安全策略��,則BSS到其他網(wǎng)絡(luò)的訪問 受安全區(qū)域間安全策略的控制�。
具體的,該安全策略可以通過ACL (Access Control List,接入控制列表) 或其他方式進行配置����。安全策略的具體內(nèi)容可以為允許IP地址為特定網(wǎng)段 (如192.168.*.*)的用戶終端的報文通過、允許特定類型的報文通過����、允許 具有特定MAC (Medium Access Control,媒體接入控制)地址的用戶終端的 報文通過等等��。
以下結(jié)合一個具體的網(wǎng)絡(luò)場景�����,說明本發(fā)明實施例的具體實施方式
��。以 圖4所示的組網(wǎng)環(huán)境為例��,將Public BSS的VLANIF 1加入到Default (缺省) 域����,將Corporate BSS的VLAN2加入到Trust (信任)域����,將AP上連接Public 網(wǎng)絡(luò)的接口 Portl力口入到Untrust (非信任)域,將AP上連接Cooperate網(wǎng)絡(luò) 的接口 Port2加入DMZ (DemilitarizedZone,非信任區(qū))域�����。
DMZ區(qū)域的作用在于�,把WEB服務(wù)器、E-mail服務(wù)器等允許外部訪問 的服務(wù)器單獨接在DMZ區(qū)域����。DMZ區(qū)域相當(dāng)于一個既不屬于內(nèi)部網(wǎng)絡(luò)����,也 不屬于外部網(wǎng)絡(luò)的一個相對獨立的區(qū)域����, 一般處于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間。 其用處在于在實際的運用中����,某些主機需要對外提供服務(wù)�����,為了更好地提 供優(yōu)質(zhì)的服務(wù)���,并同時又要有效地保護內(nèi)部網(wǎng)絡(luò)的安全���,將這些需要對外開 放的主機放置在DMZ區(qū)域中,與內(nèi)部的網(wǎng)絡(luò)設(shè)備分隔開來�����,并根據(jù)不同的需 要有針對性地采取相應(yīng)的防火墻措施,這樣便能在對外提供友好的服務(wù)的同 時最大限度地保護了內(nèi)部網(wǎng)絡(luò)�����。
本發(fā)明的實施例中�,結(jié)合上述圖4所示的網(wǎng)絡(luò)場景,以對BSS中一向外 部網(wǎng)絡(luò)發(fā)送的報文的訪問控制為例���,說明BSS網(wǎng)絡(luò)到其他網(wǎng)絡(luò)的訪問控制方 法���,如圖5所示,包括以下步驟
步驟s501 ����、接收通過VLANIF發(fā)送的報文。
具體的���,假設(shè)AP從VLANIF1接收到來自Public BSS中的用戶終端發(fā)送
的報文���,報文的目的地址屬于Public網(wǎng)絡(luò)。
步驟s502�����、判斷入接口是否屬于安全區(qū)域,是則繼續(xù)�,否則進行步驟s509。 具體的���,本發(fā)明實施例中�,在AP上配置的區(qū)域都屬于安全區(qū)域����,因此,
由于VLANIF1屬于Default域�����,AP判斷VLANIF1屬于安全區(qū)域���。對于入接
口不屬于安全區(qū)域的報文,進行步驟s509��。
步驟s503�、根據(jù)目的地址查找路由,確定報文的出接口�。
具體的,AP根據(jù)報文的目的地址���、以及本地的路由表��,確定報文的出接
口為Portl����。
步驟s504、判斷報文出接口是否合法���,是則繼續(xù)�����,否則進行步驟s509���。 具體的,由于Portl確實存在����,因此AP判斷出接口為合法。對于不存在
的出接口�����,進行步驟s509。
步驟s505��、判斷出接口是否屬于安全區(qū)域�,是則繼續(xù),否則進行步驟s509�����。 具體的��,由于Portl屬于Untrust域�,AP判斷出^妄口 Portl屬于安全區(qū)域。
對于入接口不屬于安全區(qū)域的報文��,進行步驟s509�。
步驟s506、根據(jù)入接口所屬安全區(qū)域與出接口所屬安全區(qū)域間的安全策
略進行報文匹配過濾�����。
具體的���,AP根據(jù)Default域與Untrust域間的安全策略進行報文匹配過濾。 步驟s507�����、判斷^Jl是否符合安全策略,是則繼續(xù)����,否則進行步驟s509。 步驟s508�、向出接口轉(zhuǎn)發(fā)報文,結(jié)束該報文轉(zhuǎn)發(fā)流程�。 具體的,AP判斷報文符合入接口所屬安全區(qū)域與出接口所屬安全區(qū)域間 的安全策略時��,向出接口即Portl轉(zhuǎn)發(fā)"^艮文�。
步驟s509、丟棄該4艮文或不對該報文進行處理����。
通過上述步驟,實現(xiàn)了對BSS中向外部網(wǎng)絡(luò)發(fā)送的報文的訪問控制���。本 發(fā)明的實施例提供的上述方法中����,為不同的BSS設(shè)置VLANIF��,接收BSS中
理。從而筒便的實現(xiàn)了對不同BSS的訪問控制����,降低了系統(tǒng)的成本和配置復(fù) 雜度。另外����,通過設(shè)置不同的安全策略提高了訪問控制的靈活度。
本發(fā)明實施例中���,以對外部網(wǎng)絡(luò)向BSS發(fā)送的報文的訪問控制為例�����,說 明其他網(wǎng)絡(luò)到BSS網(wǎng)絡(luò)的訪問控制方法���,如圖6所示,包括以下步驟
步s601 �����、接收外部網(wǎng)絡(luò)發(fā)送的報文�����。
具體的���,假設(shè)AP從Portl接收到來自Public網(wǎng)絡(luò)的報文���,報文的目的地
址屬于Public BSS 。
步驟s602�����、判斷入接口是否屬于安全區(qū)域����,是則繼續(xù),否則進行步驟s609����。 具體的,本發(fā)明實施例中��,在AP上配置的區(qū)域都屬于安全區(qū)域��,因此��,
由于Portl屬于Untrust域����,AP判斷Portl屬于安全區(qū)域�����。對于入接口不屬于
安全區(qū)域的報文��,進行步驟s609�。
步驟s603����、根據(jù)目的地址查找路由,確定報文的出接口 VLANIF����。 具體的,AP根據(jù)報文的目的地址�����、以及本地的路由表����,確定報文的出接
口為VLANIF1。
步驟s604���、判斷判定報文出接口 VLANIF是否合法�����,是則繼續(xù)���,否則進 行步驟s609。
具體的���,由于VLANIF1確實存在����,因此AP判斷出接口為合法����。對于不 存在的出接口,進行步驟s609�����。
步驟s605�、判斷出接口 VLANIF是否屬于安全區(qū)域,是則繼續(xù)�,否則進 行步驟s609��。
具體的��,由于VLANIF1屬于Default域����,AP判斷出接口 VLAMF1屬于 安全區(qū)域�����。對于入接口不屬于安全區(qū)域的報文�����,進行步驟s609���。
步驟s606��、根據(jù)入接口所屬安全區(qū)域和出接口所屬安全區(qū)域之間的安全 策略進行報文匹配過濾����。
具體的�,AP根據(jù)Default域與Untrust域間的安全策略進4亍才艮文匹配過濾。 步驟s607��、判斷報文是否符合安全策略,是則繼續(xù)�,否則進行步驟s609。 步驟s608�����、向出接口轉(zhuǎn)發(fā)報文�,結(jié)束該報文轉(zhuǎn)發(fā)流程���。 具體的���,AP判斷報文符合入接口所屬安全區(qū)域與出接口所屬安全區(qū)域間 的安全策略時,向出接口即VLANIF1轉(zhuǎn)發(fā)報文����。 步驟s609、丟棄該4艮文或不對該纟艮文進行處理�。
通過上述步驟,實現(xiàn)了對外部網(wǎng)絡(luò)向BSS中發(fā)送的報文的訪問控制�。以 上只是以4艮文在Default域與Untrust域間的互轉(zhuǎn)發(fā)為例對本發(fā)明實施例的具 體實施方式進行說明,對于其他域間報文的互轉(zhuǎn)發(fā)方法�����,與上述報文在Default 域與Untrust域間的互轉(zhuǎn)發(fā)相似,在此不進行重復(fù)描述���。
本發(fā)明的實施例提供的上述方法中�,為不同的BSS設(shè)置VLANIF,接收 BSS中通過VLANIF發(fā)送的報文并根據(jù)不同安全區(qū)域間的安全區(qū)域中的安全 策略對報文進行處理�。從而不需要部署交換機就能簡便的實現(xiàn)對不同BSS的 訪問控制,降低了系統(tǒng)的成本和配置復(fù)雜度���。另外���,通過設(shè)置不同的安全策 略提高了訪問控制的靈活度。
本發(fā)明的實施例還提供一種網(wǎng)絡(luò)系統(tǒng)��,包括用戶終端和AP, AP設(shè)備上 配置有多個無線服務(wù)網(wǎng)絡(luò)�����,每個無線服務(wù)網(wǎng)絡(luò)通過基本服務(wù)集BSS進行區(qū)分�, 每個BSS具有不同的VLANIF ,
用戶終端����,用于接入BSS并通過BSS的VLANIF將需要向外部網(wǎng)絡(luò)發(fā)送 的報文向AP發(fā)送,并接收AP通過BSS的VLANIF發(fā)送的來自外部網(wǎng)絡(luò)的
報文;
AP,用于接收BSS中的VLAMF與外部網(wǎng)絡(luò)之間交互的報文����;獲取 VLANIF所加入的第一安全區(qū)域、以及外部網(wǎng)絡(luò)接口所加入的第二安全區(qū)域��; 根據(jù)第 一安全區(qū)域和第二安全區(qū)域間的安全策略對報文進行處理�����。
本發(fā)明的實施例還提供一種接入點AP設(shè)備��,AP設(shè)備上配置有多個無線 服務(wù)網(wǎng)絡(luò)���,每個無線服務(wù)網(wǎng)絡(luò)通過BSS進行區(qū)分,每個BSS具有不同的 VLANIF����。具體的,如圖7所示����,該AP設(shè)備包括
報文接收單元10,用于接收BSS中的VLANIF與外部網(wǎng)絡(luò)接口之間交互 的報文���;
安全區(qū)域獲取單元20�����,用于獲取VLAMF所加入的第一安全區(qū)域�����、以及 外部網(wǎng)絡(luò)接口所加入的第二安全區(qū)域���;
報文處理單元30�,用于根據(jù)第一安全區(qū)域和第二安全區(qū)域間的安全策略 對報文進行處理���。
本發(fā)明的另一實施例中����,如圖8所示��,該AP設(shè)備還包括
配置單元40����,用于為多個BSS分配VLAN并為每個BSS創(chuàng)建相應(yīng)的 VLANIF;將各VLANIF加入特定的安全區(qū)域;設(shè)置VLANIF加入的安全區(qū) 域與外部網(wǎng)絡(luò)接口加入的安全區(qū)域間的安全策略�����。
另外,該AP設(shè)備的安全區(qū)域獲取單元20可以進一步包括
第一獲取子單元21���,用于當(dāng)報文為BSS中的用戶終端向通過VLANIF向 外部網(wǎng)絡(luò)發(fā)送的報文時��,獲取報文的入接口 VLANIF所加入的第一安全區(qū)域���; 根據(jù)報文的目的地址確定報文的出接口即外部網(wǎng)絡(luò)接口 ;獲取外部網(wǎng)絡(luò)接口 所加入的第二安全區(qū)域����;
第二獲取子單元22,用于當(dāng)報文為外部網(wǎng)絡(luò)通過VLANIF向BSS中的用 戶終端發(fā)送的報文時,獲取報文的入接口即外部網(wǎng)絡(luò)接口所加入的第二安全 區(qū)域����;根據(jù)報文的目的地址確定報文的出接口即VLANIF;獲取VLANIF所 加入的第一安全區(qū)域�����。
另外���,該AP設(shè)備的報文處理單元30具體用于當(dāng)報文符合安全區(qū)域中 的安全策略的要求時�,轉(zhuǎn)發(fā)報文到報文的目的地址;否則不對報文進行處理�。
本發(fā)明的實施例提供的上述系統(tǒng)和設(shè)備中,為不同的BSS設(shè)置VLANIF���,
文進行處理���。從而簡便的實現(xiàn)了對不同BSS的訪問控制,降低了系統(tǒng)的成本 和配置復(fù)雜度��。另外�����,通過設(shè)置不同的安全策略提高了訪問控制的靈活度�。
通過以上的實施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可以通過硬件實現(xiàn)�����,也可以借助軟件加必要的通用硬件平臺的方式來實現(xiàn)�����。 基于這樣的理解���,本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出來���,該軟 件產(chǎn)品可以存儲在一個非易失性存儲介質(zhì)(可以是CD-ROM���, U盤,移動硬 盤等)中����,包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機,服 務(wù)器��,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述的方法��。
以上公開的僅為本發(fā)明的幾個具體實施例����,但是,本發(fā)明并非局限于此����, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護范圍����。
權(quán)利要求
1.一種無線服務(wù)網(wǎng)絡(luò)中報文的處理方法��,其特征在于����,應(yīng)用于配置有多個無線服務(wù)網(wǎng)絡(luò)的接入點AP設(shè)備中�,每個所述無線服務(wù)網(wǎng)絡(luò)通過基本服務(wù)集BSS進行區(qū)分,每個BSS配置有不同的虛擬局域網(wǎng)接口VLANIF��,所述方法包括:接收BSS中的VLANIF與外部網(wǎng)絡(luò)接口之間交互的報文�����;獲取所述VLANIF所加入的第一安全區(qū)域���、以及所述外部網(wǎng)絡(luò)接口所加入的第二安全區(qū)域��;根據(jù)所述第一安全區(qū)域和所述第二安全區(qū)域間的安全策略對所述報文進行處理���。
2、 如權(quán)利要求1所述的方法�����,其特征在于����,所述4姿收BSS的VLANIF 與外部網(wǎng)絡(luò)之間交互的報文前還包括為所述多個BSS分配VLAN并為每個BSS創(chuàng)建相應(yīng)的VLANIF; 將所述VLANIF加入特定的安全區(qū)域���;設(shè)置所述VLANIF加入的安全區(qū)域與外部網(wǎng)絡(luò)接口加入的安全區(qū)域間的 安全策略。
3�、 如權(quán)利要求l所述的方法,其特征在于�����,所述報文為BSS中的用戶終 端向通過VLANIF向外部網(wǎng)絡(luò)發(fā)送的報文時�,所述獲取所述VLANIF所加入 的第一安全區(qū)域、以及所述外部網(wǎng)絡(luò)接口所加入的第二安全區(qū)域包括獲取報文的入接口 VLANIF所加入的第一安全區(qū)域�����; 根據(jù)所述報文的目的地址確定所述報文的出接口即外部網(wǎng)絡(luò)接口 ����; 獲取所述外部網(wǎng)絡(luò)接口所加入的第二安全區(qū)域。
4��、 如權(quán)利要求1所述的方法��,其特征在于����,所述報文為外部網(wǎng)絡(luò)通過 VLANIF向BSS中的用戶終端發(fā)送的才艮文時,所述獲取所述VLAMF所加入 的第 一安全區(qū)域�、以及所述外部網(wǎng)絡(luò)接口所加入的第二安全區(qū)域包括獲取報文的入接口即外部網(wǎng)絡(luò)接口所加入的第二安全區(qū)域; 根據(jù)所述凈艮文的目的地址確定所述凈艮文的出接口即VLANIF; 獲取所述VLANIF所加入的第一安全區(qū)域��。
5�����、 如權(quán)利要求l所述的方法����,其特征在于,所述安全區(qū)域中的安全策略 對所述報文進行處理包括所述報文符合所述安全區(qū)域中的安全策略的要求時��,轉(zhuǎn)發(fā)所述報文到所 述報文的目的地址����;否則不對所述凈艮文進行處理。
6�����、 如權(quán)利要求l���、 2或5所述的方法���,其特征在于���,所述安全策略包括 預(yù)先設(shè)定的過濾條件;所述符合所述安全區(qū)域中的安全策略的要求包括根據(jù)所述安全策略中 預(yù)先設(shè)定的過濾條件對報文進行匹配����,匹配成功時判斷所述報文符合所述安 全區(qū)域中的安全策略的要求。
7�����、 一種接入點AP設(shè)備����,其特征在于,所述AP設(shè)備上配置有多個無線 服務(wù)網(wǎng)絡(luò)����,每個所述無線服務(wù)網(wǎng)絡(luò)通過BSS進行區(qū)分,每個BSS具有不同的 VLANIF,所述APi殳備包括報文接收單元���,用于接收BSS中的VLANIF與外部網(wǎng)紹4口之間交互的 報文�����;安全區(qū)域獲取單元����,用于獲取所述VLANIF所加入的第一安全區(qū)域�、以 及所述外部網(wǎng)絡(luò)接口所加入的第二安全區(qū)域;才艮文處理單元���,用于根據(jù)所述第一安全區(qū)域和所述第二安全區(qū)域間的安 全策略對所述報文進行處理�。
8����、 如權(quán)利要求7所述的接入點AP設(shè)備,其特征在于���,還包括 配置單元���,用于為所述多個BSS分配VLAN并為每個BSS創(chuàng)建相應(yīng)的VLANIF;將所述VLANIF加入特定的安全區(qū)域;設(shè)置所述VLANIF加入的 安全區(qū)域與外部網(wǎng)絡(luò)4妄口加入的安全區(qū)域間的安全策略�����。
9、 如權(quán)利要求7所述的接入點AP設(shè)備����,其特征在于,所述安全區(qū)域獲 取單元包括第一獲取子單元�����,用于當(dāng)所述報文為BSS中的用戶終端通過VLANIF向 外部網(wǎng)絡(luò)發(fā)送的報文時�,獲取報文的入接口 VLANIF所加入的第一安全區(qū)域;外部網(wǎng)絡(luò)接口所加入的第二安全區(qū)域��;第二獲取子單元���,用于當(dāng)所述報文為外部網(wǎng)絡(luò)通過VLANIF向BSS中的 用戶終端發(fā)送的報文時����,獲取報文的入接口即外部網(wǎng)絡(luò)接口所加入的第二安全區(qū)域��;根據(jù)所述報文的目的地址確定所述報文的出接口即VLANIF;獲取 所述VLANIF所加入的第一安全區(qū)域��。
10�、 如權(quán)利要求7所述的接入點AP設(shè)備��,其特征在于�,所述報文處理單 元具體用于當(dāng)所述報文符合所述安全區(qū)域中的安全策略的要求時�����,轉(zhuǎn)發(fā)所述報文到 所述報文的目的地址���;否則不對所述報文進行處理。
11���、 一種網(wǎng)絡(luò)系統(tǒng)�,包括用戶終端和AP���,其特征在于�,所述AP設(shè)備上 配置有多個無線服務(wù)網(wǎng)絡(luò)�����,每個所述無線服務(wù)網(wǎng)絡(luò)通過基本服務(wù)集BSS進行 區(qū)分���,每個BSS具有不同的VLANIF���,所述用戶終端�����,用于接入BSS并通過所述BSS的VLANIF將需要向外部 網(wǎng)絡(luò)發(fā)送的報文向所述AP發(fā)送���,并接收所述AP通過所述BSS的VLANIF 發(fā)送的來自外部網(wǎng)絡(luò)的報文;所述AP��,用于接收BSS中的VLANIF與外部網(wǎng)絡(luò)之間交互的報文���;獲 取所述VLANIF所加入的第一安全區(qū)域���、以及所述外部網(wǎng)絡(luò)接口所加入的第 二安全區(qū)域;根據(jù)所述第一安全區(qū)域和所述第二安全區(qū)域間的安全策略對所 述報文進行處理��。
12����、 如權(quán)利要求11所述的網(wǎng)絡(luò)系統(tǒng),其特征在于�����,所述AP設(shè)備包括 報文接收單元,用于接收BSS中的VLANIF與外部網(wǎng)洛接口之間交互的報文����;安全區(qū)域獲取單元,用于獲取所述VLANIF所加入的第一安全區(qū)域��、以 及所述外部網(wǎng)絡(luò)接口所加入的第二安全區(qū)域����;報文處理單元���,用于根據(jù)所述第一安全區(qū)域和所述第二安全區(qū)域間的安 全策略對所述"R文進行處理。
全文摘要
本發(fā)明的實施例公開了一種無線服務(wù)網(wǎng)絡(luò)中報文的處理方法�、系統(tǒng)和設(shè)備。應(yīng)用于配置有多個無線服務(wù)網(wǎng)絡(luò)的接入點AP設(shè)備中��,所述每個無線服務(wù)網(wǎng)絡(luò)通過基本服務(wù)集BSS進行區(qū)分�����,每個BSS具有不同的虛擬局域網(wǎng)接口VLANIF��,所述方法包括接收BSS中的VLANIF與外部網(wǎng)絡(luò)接口之間交互的報文���;獲取所述VLANIF所加入的第一安全區(qū)域�����、以及所述外部網(wǎng)絡(luò)接口所加入的第二安全區(qū)域�;根據(jù)所述第一安全區(qū)域和所述第二安全區(qū)域間的安全策略對所述報文進行處理。本發(fā)明的實施例中��,簡便的實現(xiàn)了對不同BSS的訪問控制�����,降低了系統(tǒng)的成本和配置復(fù)雜度��。另外��,通過設(shè)置不同的安全策略提高了訪問控制的靈活度�����。
文檔編號H04L29/12GK101374110SQ20081016767
公開日2009年2月25日 申請日期2008年10月22日 優(yōu)先權(quán)日2008年10月22日
發(fā)明者郭賢志 申請人:成都市華為賽門鐵克科技有限公司