一种用户隔离方法及装置制造方法及图纸

本发明专利技术实施例提供了一种用户隔离方法及装置，应用于AC，所述方法包括：接收第一无线客户端向第二无线客户端发送的访问报文；当使能第一用户隔离功能且所述访问报文的源IP地址和目的IP地址均为动态IP地址时，确定所述访问报文的源IP地址和目的IP地址是否为同一地址池的IP地址；如果是，丢弃所述访问报文；如果否，将所述访问报文发送给所述第二无线客户端。应用本发明专利技术实施例，扩大了用户隔离的覆盖范围。

【技术实现步骤摘要】
一种用户隔离方法及装置
本专利技术涉及通信
，特别是涉及一种用户隔离方法及装置。
技术介绍
为了提高无线客户端的安全，缓解AC(AccessController，接入控制器)的转发压力，以及减少射频资源的消耗，可以对无线客户端进行用户隔离，例如，在同一公司的同一个办公室的无线客户端间可以进行用户隔离，禁止无线客户端间互访问。目前，用户隔离一般为基于SSID(ServiceSetIdentifier，服务集标识)的用户隔离，隔离同一SSID下的无线客户端。具体为，若两个无线客户端通过同一SSID接入网络，则禁止这两个无线客户端间相互访问。上述基于SSID的用户隔离方法灵活性较好，但仅能针对同一SSID下的无线客户端进行隔离，覆盖范围小。
技术实现思路
本专利技术实施例的目的在于提供一种用户隔离方法及装置，以扩大用户隔离的覆盖范围。具体技术方案如下：一方面，本专利技术实施例公开了一种用户隔离方法，应用于AC，所述方法包括：接收第一无线客户端向第二无线客户端发送的访问报文；当使能第一用户隔离功能且所述访问报文的源IP(InternetProtocol，网络地址)地址和目的IP地址均为动态IP地址时，确定所述访问报文的源IP地址和目的IP地址是否为同一地址池的IP地址；如果是，丢弃所述访问报文；如果否，将所述访问报文发送给所述第二无线客户端。另一方面，本专利技术实施例公开了一种用户隔离装置，应用于AC，所述装置包括：第一接收单元，用于接收第一无线客户端向第二无线客户端发送的访问报文；确定单元，用于当使能第一用户隔离功能且所述访问报文的源IP地址和目的IP地址均为动态IP地址时，确定所述访问报文的源IP地址和目的IP地址是否为同一地址池的IP地址；丢弃单元，用于在所述确定单元确定所述访问报文的源IP地址和目的IP地址为同一地址池的IP地址，丢弃所述访问报文；发送单元，用于在所述确定单元确定所述访问报文的源IP地址和目的IP地址不为同一地址池的IP地址，将所述访问报文发送给所述第二无线客户端。本专利技术实施例提供了一种用户隔离方法及装置，AC接收第一无线客户端向第二无线客户端发送的访问报文；当使能第一用户隔离功能且该访问报文的源IP地址和目的IP地址均为动态IP地址时，确定访问报文的源IP地址和目的IP地址是否为同一地址池的IP地址；如果是，则丢弃该访问报文；如果否，则将该访问报文发送给第二无线客户端。可见，本专利技术实施例中，无论同一SSID下的还是不同SSID下的无线客户端，只要从同一地址池中获取IP地址，就可以实现用户隔离，不再受制于单个SSID的用户隔离的限制，扩大了用户隔离的覆盖范围。当然，实施本专利技术的任一产品或方法必不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种用户隔离方法的流程示意图；图2为本专利技术实施例提供的一种用户隔离装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。下面通过具体实施例，对本专利技术进行详细说明。参考图1，图1为本专利技术实施例提供的一种用户隔离方法的流程示意图，应用于AC，该方法包括：S101：接收第一无线客户端向第二无线客户端发送的访问报文；这里，第一无线客户端向第二无线客户端均为在AC上已上线的无线客户端，该AC已为第一无线客户端向第二无线客户端分配了IP地址。S102：当使能第一用户隔离功能且该访问报文的源IP地址和目的IP地址均为动态IP地址时，确定该访问报文的源IP地址和目的IP地址是否为同一地址池的IP地址；如果是，执行S103；否则，执行S104；在本专利技术的一个实施例中，若未使能第一用户隔离功能，则确定不需要对访问报文进行隔离，AC将访问报文直接发送给第二无线客户端。在本专利技术的一个实施例中，为了灵活的控制用户隔离功能，该第一用户隔离功能可以设置在AC上，AC转发访问报文时需要确认是否具有此功能，并根据确认结果决策是否进行用户隔离。S103：丢弃该访问报文；S104：将该访问报文发送给第二无线客户端。在本专利技术的一个实施例中，接收第一无线客户端向第二无线客户端发送的访问报文之前，第一无线客户端和第二无线客户端已在AC上上线。具体地，无线客户端上线的过程可以包括：S01、第一无线客户端或者第二无线客户端向AC发送上线请求；S02、AC接收到上线请求后，首先判断该上线请求中携带的第一无线客户端或者第二无线客户端的MAC(MediaAccessControl，媒体访问控制)地址是否为预设MAC地址；这里，预设MAC地址为不需要用户隔离的特殊无线客户端的MAC地址。每一无线客户端的MAC地址都是不同，根据预设MAC地址，能够准确地确定出不需要用户隔离的特殊无线客户端。S03、如果上线请求中携带MAC地址是预设MAC地址，则AC为第一无线客户端或者第二无线客户端配置静态IP地址；为这些特殊无线客户端分配静态IP地址，这些特殊无线客户端的地址表项中就不会包括地址池的标识，进而AC不会对这些特殊无线客户端进行用户隔离。这种情况下，若接收到的访问报文的源IP地址、目的IP地址中有一个为静态IP地址，则无论是否使能第一用户隔离功能，都可以直接将该访问报文发送给第二无线客户端。S04、如果上线请求中携带MAC地址不是预设MAC地址，则AC从本地的地址池中获取动态IP地址，并分配给第一无线客户端或者第二无线客户端；这种情况下，AC上具有DHCP(DynamicHostConfigurationProtocol，动态主机配置协议)服务器，可以在AC上预先设置每一无线客户端对应的地址池，并且将需要用户隔离的无线客户端都对应同一地址池。无线客户端上线时，若上线请求中携带MAC地址不是预设MAC地址，AC从该无线客户端对应的地址池中获取动态IP地址，以保证能够通过地址池对无线客户端进行用户隔离。S05、AC在使能第二用户隔离功能的情况下，生成针对第一无线客户端或者第二无线客户端的地址表项，该地址表项包括第一无线客户端或者第二无线客户端的IP地址所属地址池的标识。当使能第二用户隔离功能时，生成的针对第一无线客户端或者第二无线客户端的地址表项中包括地址池的标识；若未使能第二用户隔离功能，生成针对第一无线客户端或者第二无线客户端的地址表项中不包括地址池的标识。这样有效地提高了用户隔离的灵活性。例如，第一无线客户端的MAC地址为MAC1，第一无线客户端的IP地址为IP1，预先设置的该第一无线客户端对应的地址池为A，当使能第二用户隔离功能时，生成的针对第一无线客户端的DHCP地址表项可参考表1；表1IP地址MAC地址地址池标识IP1MAC1A当未使能第二用户隔离功能时，生成的针对第一无线客户端的DHCP地址表项本文档来自技高网...

【技术保护点】
一种用户隔离方法，其特征在于，应用于接入控制器AC，所述方法包括：接收第一无线客户端向第二无线客户端发送的访问报文；当使能第一用户隔离功能且所述访问报文的源网络协议IP地址和目的IP地址均为动态IP地址时，确定所述访问报文的源IP地址和目的IP地址是否为同一地址池的IP地址；如果是，丢弃所述访问报文；如果否，将所述访问报文发送给所述第二无线客户端。

【技术特征摘要】
1.一种用户隔离方法，其特征在于，应用于接入控制器AC，所述方法包括：接收第一无线客户端向第二无线客户端发送的访问报文；当使能第一用户隔离功能且所述访问报文的源网络协议IP地址和目的IP地址均为动态IP地址时，确定所述访问报文的源IP地址和目的IP地址是否为同一地址池的IP地址；如果是，丢弃所述访问报文；如果否，将所述访问报文发送给所述第二无线客户端。2.根据权利要求1所述的方法，其特征在于，在所述接收第一无线客户端向第二无线客户端发送的访问报文的步骤之后，所述方法还包括：当所述访问报文的源IP地址和/或目的IP地址为静态IP地址时，将所述访问报文发送给所述第二无线客户端。3.根据权利要求2所述的方法，其特征在于，在所述接收第一无线客户端向第二无线客户端发送的访问报文的步骤之前，所述方法还包括：接收所述第一无线客户端或者所述第二无线客户端的上线请求；判断所述上线请求中携带的所述第一无线客户端或者所述第二无线客户端的媒体访问控制MAC地址是否为预设MAC地址；如果是，为所述第一无线客户端或者所述第二无线客户端配置静态IP地址；如果否，从本地的地址池中获取动态IP地址，并分配给所述第一无线客户端或者所述第二无线客户端；在使能第二用户隔离功能的情况下，生成针对所述第一无线客户端或者所述第二无线客户端的地址表项，所述地址表项包括所述第一无线客户端或者所述第二无线客户端的IP地址所属地址池的标识；所述确定所述访问报文的源IP地址和目的IP地址是否为同一地址池的IP地址的步骤，包括：判断针对所述第一无线客户端的地址表项中包括的地址池的标识和针对所述第二无线客户端的地址表项中包括的地址池的标识是否相同；如果是，判定所述访问报文的源IP地址和目的IP地址为同一地址池的IP地址；如果否，判定所述访问报文的源IP地址和目的IP地址不为同一地址池的IP地址。4.根据权利要求2所述的方法，其特征在于，在所述接收第一无线客户端向第二无线客户端发送的访问报文的步骤之前，所述方法还包括：接收所述第一无线客户端或者所述第二客户端的上线请求；判断所述上线请求中携带的所述第一无线客户端或者所述第二无线客户端的MAC地址是否为预设MAC地址；如果是，为所述第一无线客户端或者所述第二无线客户端配置静态IP地址；如果否，从动态主机配置协议DHCP服务器获取动态IP地址，并分配给所述第一无线客户端或者所述第二无线客户端；所述确定所述访问报文的源IP地址和目的IP地址是否为同一地址池的IP地址的步骤，包括：向所述DHCP服务器查询所述第一无线客户端的IP地址和所述第二无线客户端的IP地址是否为同一地址池的IP地址；在查询结果为是时，判定所述访问报文的源IP地址和目的IP地址为同一地址池的IP地址；在查询结果为否时，判定所述访问报文的源IP地址和目的IP地址不为同一地址池的IP地址。5.根据权利要求1所述的方法，其特征在于，在所述接收第一无线客户端向第二无线客户端发送的访问报文的步骤之后，所述方法还包括：若未使能所述第一用户隔离功能，将所述访问报文发送给所述第二无线客户端。6.一种用户隔离装置，其特征在于，应用于接入控制器AC，所述装置包括：第一接收单元，用于接收第一无线客户端向第二无线客户端发送的访问报文；确定单元，用于当使能第...

【专利技术属性】
技术研发人员：王宁，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33