一种无线用户的二层数据访问控制方法及系统技术方案

本发明专利技术提供一种无线用户的二层数据访问控制方法及系统，涉及无线局域网二层隔离互通技术领域，包括：无线接入点检测到无线用户上线时获取无线用户的二层MAC地址；无线接入点在无线用户上线后监听无线用户与对应的网关的通信过程，以获取网关的网关MAC地址；无线接入点根据二层MAC地址和网关MAC地址生成相应的访问控制规则，并根据访问控制规则控制实现只允许无线用户和网关之间进行二层数据转发互访。有益效果是在无线接入点上实现完善的访问控制功能，控制无线用户之间的数据互通访问，避免了对上层交换机和网关的访问控制规则依赖，极大简化了实施及维护工作；实现上相对容易，实用性强。实用性强。实用性强。

【技术实现步骤摘要】
一种无线用户的二层数据访问控制方法及系统


[0001]本专利技术涉及无线局域网二层隔离互通
，尤其涉及一种无线用户的二层数据访问控制方法及系统。

技术介绍

[0002]随着信息技术的飞速发展，人们对网络通信的需求不断提高，希望不论核实、何地、与何人均能进行数据、语音、图像等多种内容通信，无线局域网(Wireless Local Area Network，WLAN)依靠其高灵活性、可移动性和极强的可扩充性，使人们真正享受到简单、方便、快捷的链接。
[0003]无线局域网中，由于无线用户的流动性和不确定性，需要对用户之间的互访进行隔离，使得同一二层网络中的无线用户之间不能互访，以在为用户提供网络服务的同时，能够保证用户业务的安全性。现有技术中，为控制不同无线用户间的二层的数据访问互通，通常需要整网进行访问规则控制，换言之，为实现用户的完全隔离，需要在网络的不同层级设备上实施策略，才能实现隔离的目的，使得网络部署复杂且不便于维护。

技术实现思路

[0004]针对现有技术中存在的问题，本专利技术提供一种无线用户的二层数据访问控制方法，应用于一无线局域网，所述无线局域网中配置有至少一无线接入点，各所述无线接入点连接一网关，包括：
[0005]步骤S1，所述无线接入点检测到一无线用户上线时，获取所述无线用户的二层MAC地址；
[0006]步骤S2，所述无线接入点在所述无线用户上线后，监听所述无线用户与对应的所述网关的通信过程，以获取所述网关的网关MAC地址；
[0007]步骤S3，所述无线接入点根据所述二层MAC地址和所述网关MAC地址生成相应的访问控制规则，并根据所述访问控制规则控制实现只允许所述无线用户和所述网关之间进行二层数据转发互访。
[0008]优选的，执行所述步骤S3之后，还包括：
[0009]所述无线接入点检测到所述无线用户下线时，移除所述无线用户对应的所述访问控制规则。
[0010]优选的，所述步骤S2中，监听所述无线用户与对应的所述网关的通信过程包括动态主机配置协议过程和地址解析协议过程。
[0011]优选的，所述步骤S1中，所述无线接入点检测到所述无线用户上线时，还包括：
[0012]获取所述无线用户关联的一访问策略，并判断所述访问策略中是否包含允许所述无线用户与其他无线用户进行二层数据转发互访的互访需求：
[0013]若否，则转向所述步骤S2；
[0014]若是，则输出所述互访需求，随后转向所述步骤S2；
[0015]在输出所述互访需求时，所述步骤S3中，还包括：
[0016]所述无线接入点根据所述二层MAC地址、所述网关MAC地址和所述互访需求生成相应的所述访问控制规则，以控制实现允许所述无线用户和所述网关之间，以及所述无线用户与所述互访需求包含的其他无线用户之间进行二层数据转发互访。
[0017]优选的，所述无线接入点采用访问配置文件的方式由所述无线局域网的一策略服务器中获取所述访问策略。
[0018]本专利技术还提供一种无线用户的二层数据访问控制系统，应用上述的二层数据访问控制方法，所述二层数据访问控制系统包括：
[0019]至少一无线接入点，连接一网关，每个所述无线接入点包括：
[0020]无线用户接入模块，用于在检测到一无线用户上线时，获取所述无线用户的二层MAC地址；
[0021]通信过程监听模块，用于在所述无线用户上线后，监听所述无线用户与对应的所述网关的通信过程，以获取所述网关的网关MAC地址；
[0022]访问规则控制模块，分别连接所述无线用户接入模块和所述通信过程监听模块，用于根据所述二层MAC地址和所述网关MAC地址生成相应的访问控制规则，并根据所述访问控制规则实现只允许所述无线用户和所述网关之间进行二层数据转发互访。
[0023]优选的，所述无线用户接入模块还用于在检测到所述无线用户下线时生成一下线信号；
[0024]则所述访问规则控制模块包括一规则移除单元，用于根据所述下线信号，移除对应的所述无线用户的所述访问控制规则。
[0025]优选的，所述通信过程监听模块中，监听所述无线用户与对应的所述网关的通信过程包括动态主机配置协议过程和地址解析协议过程。
[0026]优选的，所述无线用户接入模块包括一策略判断单元，用于在检测到所述无线用户上线时，获取所述无线用户关联的一访问策略，并在所述访问策略中包含允许所述无线用户与其他无线用户进行二层数据转发互访的互访需求时输出所述互访需求；
[0027]则访问规则控制模块还用于根据所述二层MAC地址、所述网关MAC地址和所述互访需求生成相应的所述访问控制规则，以控制实现允许所述无线用户和所述网关之间，以及所述无线用户与所述互访需求包含的其他无线用户之间进行二层数据转发互访。
[0028]优选的，所述策略判断单元采用访问配置文件的方式由所述无线局域网的一策略服务器中获取所述访问策略。
[0029]上述技术方案具有如下优点或有益效果：
[0030]1)从隔离无线用户之间数据访问的需求出发，在无线接入点上，实现完善的访问控制功能，控制无线用户之间的数据互通访问，避免了对上层交换机和网关的访问控制规则依赖，极大简化了实施及维护工作；
[0031]2)仅在接入层无线接入点上控制无线用户之间的二层数据转发互访，实现上相对容易，实用性强。
附图说明
[0032]图1为本专利技术的较佳的实施例中，一种无线用户的二层数据访问控制方法的流程
示意图；
[0033]图2为本专利技术的较佳的实施例中，一种无线用户的二层数据访问控制系统的结构示意图。
具体实施方式
[0034]下面结合附图和具体实施例对本专利技术进行详细说明。本专利技术并不限定于该实施方式，只要符合本专利技术的主旨，则其他实施方式也可以属于本专利技术的范畴。
[0035]本专利技术的较佳的实施例中，基于现有技术中存在的上述问题，现提供一种无线用户的二层数据访问控制方法，应用于一无线局域网，无线局域网中配置有至少一无线接入点，各无线接入点连接一网关，如图1所示，包括：
[0036]步骤S1，无线接入点检测到一无线用户上线时，获取无线用户的二层MAC地址；
[0037]步骤S2，无线接入点在无线用户上线后，监听无线用户与对应的网关的通信过程，以获取网关的网关MAC地址；
[0038]步骤S3，无线接入点根据二层MAC地址和网关MAC地址生成相应的访问控制规则，并根据访问控制规则控制实现只允许无线用户和网关之间进行二层数据转发互访。
[0039]具体地，从网络层二层的转发逻辑来看，无线用户的数据报文，可能是给其他二层邻居的，也可能是给缺省网关设备接口的(也是二层邻居)，控制只允许无线用户把数据转发给网关设备即可实现无线用户的二层隔离。基于此，本实施例中，在无线局域网的接入层无线接入点(Wireless Access Point,AP)上，通过二层地址识别本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种无线用户的二层数据访问控制方法，应用于一无线局域网，所述无线局域网中配置有至少一无线接入点，各所述无线接入点连接一网关，其特征在于，包括：步骤S1，所述无线接入点检测到一无线用户上线时，获取所述无线用户的二层MAC地址；步骤S2，所述无线接入点在所述无线用户上线后，监听所述无线用户与对应的所述网关的通信过程，以获取所述网关的网关MAC地址；步骤S3，所述无线接入点根据所述二层MAC地址和所述网关MAC地址生成相应的访问控制规则，并根据所述访问控制规则控制实现只允许所述无线用户和所述网关之间进行二层数据转发互访。2.根据权利要求1所述的二层数据访问控制方法，其特征在于，执行所述步骤S3之后，还包括：所述无线接入点检测到所述无线用户下线时，移除所述无线用户对应的所述访问控制规则。3.根据权利要求1所述的二层数据访问控制方法，其特征在于，所述步骤S2中，监听所述无线用户与对应的所述网关的通信过程包括动态主机配置协议过程和地址解析协议过程。4.根据权利要求1所述的二层数据访问控制方法，其特征在于，所述步骤S1中，所述无线接入点检测到所述无线用户上线时，还包括：获取所述无线用户关联的一访问策略，并判断所述访问策略中是否包含允许所述无线用户与其他无线用户进行二层数据转发互访的互访需求：若否，则转向所述步骤S2；若是，则输出所述互访需求，随后转向所述步骤S2；在输出所述互访需求时，所述步骤S3中，还包括：所述无线接入点根据所述二层MAC地址、所述网关MAC地址和所述互访需求生成相应的所述访问控制规则，以控制实现允许所述无线用户和所述网关之间，以及所述无线用户与所述互访需求包含的其他无线用户之间进行二层数据转发互访。5.根据权利要求4所述的二层数据访问控制方法，其特征在于，所述无线接入点采用访问配置文件的方式由所述无线局域网的一策略服务器中获取所述访问策略。6.一种无线用户的二层数据访问控制系统，其特征在于，应用如权利要求...

【专利技术属性】
技术研发人员：常志民，范小伟，王晖，
申请(专利权)人：北京华信傲天网络技术有限公司，
类型：发明
国别省市：