技术领域
[0001] 本
发明涉及网络通信技术领域,特别是涉及一种报文处理方法及装置。
背景技术
[0002] 一些场景中,可能基于SSID(Service Set Identifier,服务集标识)划分虚拟局域网,将SSID相同的无线终端划分到同一虚拟局域网中,而为了保护不同无线终端之间的数据安全,同一虚拟局域网内的无线终端之间不能互相
访问,因此,需要对SSID相同的无线终端进行用户隔离。
[0003] 在AC(Access Controller,接入
控制器)+Fit AP(Fit Access Point,瘦无线访问
节点)的组网中,每个Fit AP只有加密、射频功能,Fit AP上接入的无线终端由AC统一控制,因此,每个FitAP在接收到报文之后,可以将接收到的报文发送至AC,由AC对所获取的报文进行分析,判断该报文的源地址信息和该报文的目的地址信息是否为接入组网中的无线终端的地址信息,若是,将源地址信息和目的地址信息对应的无线终端分别称为源无线终端和目的无线终端,再判断该报文的源无线终端所接入的BSS(Basic Service Set,
基础服务集合)口的SSID,和目的无线终端所接入的BSS口的SSID是否相同,若相同,则表明该报文的源无线终端和目的无线终端属于同一虚拟局域网,那么,不允许流量通过,从而达到基于SSID的用户隔离效果。
[0004] 但是,一些情况下,无线终端属于Fat AP(Fat Access Point,胖无线访问节点)组网,在Fat AP组网中,没有配置AC,每台Fat AP仅了解自身接入的无线终端和自身的BSS情况,在获取到报文之后,无法判断该报文的源地址信息是否为接入组网的无线终端的地址信息,进而,也无法获取该报文的源无线终端所接入的BSS口的SSID,从而无法达到基于SSID的用户隔离效果。
[0005] 因此,目前亟需一种应用于Fat AP组网的报文处理方法。
发明内容
[0006] 本发明
实施例的目的在于提供一种报文处理方法,以实现针对Fat AP组网的用户隔离。具体技术方案如下:
[0007] 本发明实施例提供了一种报文处理方法,应用于Fat AP组网中的任一AP,所述Fat AP组网中包括一个网关AP及多个非网关AP,每个非网关AP分别与所述网关AP通信连接,所述方法包括:
[0008] 在接收到待转发报文后,从所述待转发报文中,获取所述待转发报文的源地址信息及目的地址信息;
[0009] 基于在线信息,查询所述源地址信息对应的服务集标识SSID,以及所述目的地址信息对应的SSID,所述在线信息中包括当前接入所述Fat AP组网的无线终端的地址信息及无线终端所接入的BSS口的SSID;
[0010] 判断所述源地址信息对应的SSID是否与所述目的地址信息对应的SSID相同;
[0011] 若相同,则丢弃所述待转发报文。
[0012] 可选的,所述在接收到待转发报文后,从所述待转发报文中,获取所述待转发报文的源地址信息及目的地址信息,包括:
[0013] 在接收到待转发报文后,从所述待转发报文中,获取所述待转发报文的目的地址信息;
[0014] 判断所述目的地址信息是否为接入所述AP的无线终端的地址信息;
[0015] 若是,则获取所述待转发报文的源地址信息,执行所述基于在线信息,查询所述源地址信息对应的SSID,以及所述目的地址信息对应的SSID的步骤。
[0016] 可选的,所述AP为非网关AP;所述方法还包括:
[0017] 与所述网关AP建立连接,向所述网关AP上报当前接入所述AP的无线终端的终端信息,以使所述网关AP根据所述多个非网关AP上报的终端信息及所述网关AP自身接入的无线终端的终端信息,生成并下发在线信息;
[0018] 接收所述网关AP下发的在线信息。
[0019] 可选的,在所述与所述网关AP建立连接,向所述网关AP上报当前接入所述AP的无线终端的终端信息之后,方法还包括:
[0020] 若有新的无线终端接入,则向所述网关AP上报新接入的无线终端的终端信息,以使所述网关AP向除所述AP之外的非网关AP下发新接入的无线终端的终端信息;
[0021] 根据所述新接入的无线终端的终端信息,更新所述在线信息。
[0022] 可选的,在所述与所述网关AP建立连接,向所述网关AP上报当前接入所述AP的无线终端的终端信息之后,所述方法还包括:
[0023] 若有无线终端与所述AP断开连接,则上报断开连接的无线终端的终端信息,以使所述网关AP向除所述AP之外的非网关AP下发断开连接的无线终端的终端信息;
[0024] 根据所述断开连接的无线终端的终端信息,更新所述在线信息。
[0025] 可选的,所述AP为网关AP;所述方法还包括:
[0026] 与所述多个非网关AP建立连接,接收每个非网关AP上报的当前接入该非网关AP的无线终端的终端信息;
[0027] 根据所述多个非网关AP上报的终端信息及所述AP自身接入的无线终端的终端信息,生成并向所述多个非网关AP下发在线信息。
[0028] 可选的,在所述根据所述多个非网关AP上报的终端信息及所述AP自身接入的无线终端的终端信息,生成并向所述多个非网关AP下发在线信息之后,所述方法还包括:
[0029] 接收每个非网关AP上报的新接入的无线终端的终端信息,和/或,获取新接入所述AP的无线终端的终端信息;
[0030] 向所述多个非网关AP下发新接入的无线终端的终端信息,以使所述多个非网关AP根据新接入的无线终端的终端信息更新所述在线信息。
[0031] 可选的,在所述根据所述多个非网关AP上报的终端信息及所述AP自身接入的无线终端的终端信息,生成并向多个非网关AP下发在线信息之后,所述方法还包括:
[0032] 接收每个非网关AP上报的断开连接的无线终端的终端信息,和/或,获取与所述AP断开连接的无线终端的终端信息;
[0033] 向所述多个非网关AP下发断开连接的无线终端的终端信息,以使所述多个非网关AP根据断开连接的无线终端的终端信息更新所述在线信息。
[0034] 本发明实施例还提供了一种报文处理装置,应用于Fat AP组网中的任一AP,所述Fat AP组网中包括一个网关AP及多个非网关AP,每个非网关AP分别与网关AP通信连接,所述装置包括:
[0035] 获取模
块,用于在接收到待转发报文后,从所述待转发报文中,获取所述待转发报文的源地址信息及目的地址信息;
[0036] 查询模块,用于基于在线信息,查询所述源地址信息对应的服务集标识SSID,以及所述目的地址信息对应的SSID,所述在线信息中包括当前接入所述Fat AP组网的无线终端的地址信息及无线终端所接入的BSS口的SSID;
[0037] 判断模块,用于判断所述源地址信息对应的SSID是否与所述目的地址信息对应的SSID相同;
[0038] 转发模块,用于在所述源地址信息对应的SSID与所述目的地址信息对应的SSID相同的情况下,丢弃所述待转发报文。
[0039] 可选的,所述获取模块,具体用于:
[0040] 在接收到待转发报文后,从所述待转发报文中,获取所述待转发报文的目的地址信息;
[0041] 判断所述目的地址信息是否为接入所述AP的无线终端的地址信息;
[0042] 若是,则获取所述待转发报文的源地址信息,执行所述基于在线信息,查询所述源地址信息对应的SSID,以及所述目的地址信息对应的SSID的步骤。
[0043] 可选的,所述AP为非网关AP;所述装置还包括:
[0044] 上报模块,用于与所述网关AP建立连接,向所述网关AP上报当前接入所述AP的无线终端的终端信息,以使所述网关AP根据所述多个非网关AP上报的终端信息及所述网关AP自身接入的无线终端的终端信息,生成并下发在线信息;
[0045] 在线信息处理模块,用于接收所述网关AP下发的在线信息。
[0046] 可选的,所述上报模块,还用于若有新的无线终端接入,则上报新接入的无线终端的终端信息,以使所述网关AP向除所述AP之外的非网关AP下发所述新接入的无线终端的终端信息;
[0047] 所述在线信息处理模块,还用于根据所述新接入的无线终端的终端信息,更新所述在线信息。
[0048] 可选的,所述上报模块,还用于若有无线终端与所述AP断开连接,则上报断开连接的无线终端的终端信息,以使所述网关AP向除所述AP之外的非网关AP下发所述断开连接的无线终端的终端信息;
[0049] 所述在线信息处理模块,还用于根据所述断开连接的无线终端的终端信息,更新所述在线信息。
[0050] 可选的,所述AP为网关AP;所述装置还包括:
[0051] 接收模块,用于与所述多个非网关AP建立连接,接收每个非网关AP上报的当前接入该非网关AP的无线终端的终端信息;
[0052] 下发模块,用于根据所述多个非网关AP上报的终端信息及所述AP自身接入的无线终端的终端信息,生成并向所述多个非网关AP下发在线信息。
[0053] 可选的,所述接收模块,还用于接收每个非网关AP上报的新接入的无线终端的终端信息,和/或,获取新接入所述AP的无线终端的终端信息;
[0054] 所述下发模块,还用于向所述多个非网关AP下发新接入的无线终端的终端信息,以使所述多个非网关AP根据所述新接入的无线终端的终端信息更新所述在线信息。
[0055] 可选的,所述接收模块,还用于接收每个非网关AP上报的断开连接的无线终端的终端信息,和/或,获取与所述AP断开连接的无线终端的终端信息;
[0056] 所述下发模块,还用于向所述多个非网关AP下发断开连接的无线终端的终端信息,以使所述多个非网关AP根据断开连接的无线终端的终端信息更新所述在线信息。
[0057] 本发明实施例还提供了一种
电子设备,包括处理器、通信
接口、
存储器和通信总线,其中,所述处理器,所述
通信接口,所述存储器通过所述通信总线完成相互间的通信;
[0059] 所述处理器,用于执行所述存储器上所存放的程序时,实现上述任一所述的报文处理方法。
[0060] 本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一所述的报文处理方法。
[0061] 本发明实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一所述的报文处理方法。
[0062] 本发明实施例提供的报文处理方法及装置,应用于Fat AP组网中的AP,Fat AP组网中包括一个网关AP及多个非网关AP,每个非网关AP分别与网关AP通信连接,在接收到待转发报文后,从待转发报文中,获取待转发报文的源地址信息及目的地址信息,然后,基于在线信息,查询源地址信息对应的SSID,以及目的地址信息对应的SSID,其中,在线信息中包括当前接入Fat AP组网的无线终端的地址信息及无线终端所接入的BSS口的SSID,进而,判断源地址信息对应的SSID是否与目的地址信息对应的SSID相同,若相同,则丢弃待转发报文。
[0063] 这样,在线信息中包括当前接入Fat AP组网的无线终端的地址信息及无线终端所接入的BSS口的SSID,基于此,若AP可以在在线信息中查询到待转发报文的源地址信息及目的地址信息,表明待转发报文的源地址信息和目的地址信息均为接入Fat AP组网的无线终端的地址信息,进而,可以在在线信息中查询源地址信息及目的地址信息对应的SSID,在待转发报文的源地址信息对应的SSID和目的地址信息对应的SSID相同的情况下,表明待转发报文的源地址信息对应的无线终端和目的地址信息对应的无线终端处于SSID相同的同一虚拟局域网中,则丢弃该待转发报文,待转发报文不会在处于同一虚拟局域网中的无线终端之间转发,从而实现了无线终端之间的用户隔离,提升了Fat AP组网下的通信安全。当然,实施本发明的任一产品或方法并不一定需要同时达到以上的优点。
附图说明
[0064] 为了更清楚地说明本发明实施例或
现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0065] 图1为本发明实施例提供的一种报文处理方法的流程示意图;
[0066] 图2为本发明实施例中Fat AP组网的系统示意图;
[0067] 图3为本发明实施例提供的一种报文处理装置的结构示意图;
[0068] 图4为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
[0069] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的其他实施例,都属于本发明保护的范围。
[0070] 为了解决在Fat AP组网中,没有配置AC,每台Fat AP仅了解自身接入的无线终端和自身的BSS情况,无法区分所接收到的报文的源地址信息是否为接入组网的无线终端的地址信息,进而,也无法获取该报文的源无线终端所接入的BSS口的SSID,从而无法达到基于SSID的用户隔离效果的问题,本发明实施例提供了一种报文处理方法,该方法应用于Fat AP组网中的任一AP,Fat AP组网中包括一个网关AP及多个非网关AP,每个非网关AP分别与网关AP通信连接。
[0071] 下面从总体上对本发明实施例提供的报文处理方法进行说明。
[0072] 在接收到待转发报文后,从待转发报文中,获取待转发报文的源地址信息及目的地址信息;
[0073] 基于在线信息,查询源地址信息对应的SSID,以及目的地址信息对应的SSID,在线信息中包括当前接入Fat AP组网的无线终端的地址信息及无线终端所接入的BSS口的SSID;
[0074] 判断源地址信息对应的SSID是否与目的地址信息对应的SSID相同;
[0075] 若相同,则丢弃待转发报文。
[0076] 由以上可见,本发明实施例提供的报文处理方法,在线信息中包括当前接入Fat AP组网的无线终端的地址信息及无线终端所接入的BSS口的SSID,基于此,若AP可以在在线信息中查询到待转发报文的源地址信息及目的地址信息,表明待转发报文的源地址信息和目的地址信息均为接入Fat AP组网的无线终端的地址信息,进而,可以在在线信息中查询源地址信息及目的地址信息对应的SSID,在待转发报文的源地址信息对应的SSID和目的地址信息对应的SSID相同的情况下,表明待转发报文的源地址信息对应的无线终端和目的地址信息对应的无线终端处于SSID相同的同一虚拟局域网中,则丢弃该待转发报文,待转发报文不会在处于同一虚拟局域网中的无线终端之间转发,从而实现了无线终端之间的用户隔离,提升了Fat AP组网下的通信安全。
[0077] 下面将通过具体的实施例,对本发明实施例提供的报文处理方法进行详细描述。
[0078] 如图1所示,为本发明实施例提供的一种报文处理方法的流程示意图,包括如下步骤:
[0079] S101:在接收到待转发报文后,从待转发报文中,获取待转发报文的源地址信息及目的地址信息。
[0080] 本发明实施例应用于Fat AP组网中的任一AP,其中,AP可以是非网关AP,也可以是网关AP,如图2所示,为本发明实施例中Fat AP组网的系统示意图,其中,Fat AP组网中包括一个网关AP及多个非网关AP,网关AP作为网络出口,处于网关模式并提供DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)服务,非网关AP处于普通AP模式。也就是说,每个非网关AP都会与网关AP建立连接。
[0081] 其中,待转发报文的源地址信息是指该待转发报文的源发送设备的地址信息,比如,可以为待转发报文的发送设备的MAC(Media Access Control Address,媒体访问控制)地址或IP(Internet Protocol,网际协议)地址,目的地址信息是指待转发报文的目的接收设备的地址信息,比如,可以为待转发报文的目的设备的MAC地址或IP地址,等等。待转发报文的源发送设备和目的接收设备可以为接入Fat AP组网中的无线终端,也可以为Fat AP组网中的其他AP等设备,具体不做限定。
[0082] 一种实现方式中,在获取到待转发报文的目的地址信息之后,可以先判断待转发报文的目的地址信息是否为接入本AP(执行主体)的无线终端的地址信息,若是,将该无线终端称为目的无线终端,再获取待转发报文的源地址信息。也就是说,只有在待转发报文的目的地址信息是接入本AP的无线终端的地址信息时,才会获取待转发报文的源地址信息,进行进一步的判断。
[0083] 举例而言,无线终端1接入AP1,无线终端2接入AP2,待转发报文的源无线终端为无线终端1,目的无线终端为无线终端2,也就是说,待转发报文的传输路径为无线终端1到AP1,由AP1到AP2,再由AP2到无线终端2,那么,当AP1接收到待转发报文时,由于待转发报文的目的地址信息即为无线终端2的地址信息,而无线终端2并不是接入AP1的无线终端,因此,AP1不会获取待转发报文的源地址信息,进行进一步的判断,只有当AP2接收到待转发报文时,由于待转发报文的目的地址信息即为无线终端2的地址信息,而无线终端2是接入AP2的无线终端,因此,AP2会获取待转发报文的源地址信息,进行进一步的判断。
[0084] 这样,可以减少待转发报文的源地址信息对应的源发送设备所接入的AP的工作量,使得待转发报文的传输过程更快速。
[0085] S102:基于在线信息,查询源地址信息对应的SSID,以及目的地址信息对应的SSID,在线信息中包括当前接入Fat AP组网的无线终端的地址信息及无线终端所接入的BSS口的SSID。
[0086] 其中,在线信息中包括当前接入Fat AP组网的无线终端的地址信息及无线终端所接入的BSS口的SSID,其中,每一个无线终端具有唯一的地址信息,且仅接入一个BSS口,也就是说,每一个地址信息仅与一个SSID对应,因此,可以根据待转发报文的源地址信息,从在线信息中查询待转发报文的源地址信息对应的SSID,同时,可以根据待转发报文的目的地址信息,从在线信息中查询待转发报文的目的地址信息对应的SSID。
[0087] 在从在线信息中查询源地址信息对应的SSID时,若在线信息中不存在与源地址信息相同的当前接入Fat AP组网的无线终端的地址信息,则表明待转发报文的源地址信息对应的设备不是接入Fat AP组网中的无线终端,在这情况下,可以直接对待转发报文进行转发,若在线信息中存在与源地址信息相同的当前接入Fat AP组网的无线终端的地址信息,则表明待转发报文的源地址信息对应的设备是接入Fat AP组网中的无线终端,在这种情况下,可以将该无线终端称为源无线终端,进一步从在线信息中查询源地址信息对应的SSID和目的地址信息对应的SSID。这样,可以减少后续的计算量,提高报文传输速率。
[0088] 一种实现方式中,本AP可能为Fat AP组网中的非网关AP,在这情况下,本AP可以从网关AP处获取在线信息。
[0089] 举例而言,首先,AP可以与网关AP建立连接,然后,向网关AP上报当前接入该AP的无线终端的终端信息,也就是说,每个非网关AP均会向网关AP上报当前接入该非网关AP的无线终端的终端信息,这样,网关AP可以根据非网关AP上报的终端信息及网关AP自身接入的无线终端的终端信息,生成包括当前接入Fat AP组网中的无线终端的终端信息的在线信息,进而,网关AP可以向非网关AP下发在线信息,这样,本AP可以获取到网关AP下发的在线信息。
[0090] 其中,本AP可以在与网关AP建立连接之后,先向网关AP上报当前接入本AP的无线终端的终端信息,再接收网关AP下发的在线信息,或者,也可以在与网关AP建立连接之后,先接收网关AP下发的在线信息,再向网关AP上报当前接入本AP的无线终端的终端信息,具体不做限定。
[0091] 当当前接入本AP的无线终端发生变化时,本AP可以立即向网关AP上报发生变化的无线终端的终端信息,或者,也可以按照预设的时间间隔,定时向网关AP上报发生变化的无线终端的终端信息,网关AP接收到发生变化的无线终端的终端信息之后,会向其他非网关AP下发。同理,当当前接入其他非网关AP或网关AP的无线终端发生变化时,本AP也会接收到网关AP下发的发生变化的无线终端的终端信息。
[0092] 比如,若有新的无线终端接入本AP,那么,本AP在检测到有新的无线终端接入后,可以向网关AP上报新接入的无线终端的终端信息,这样,网关AP可以在接收到新接入的无线终端的终端信息之后,可以向其他非网关AP下发新接入的无线终端的终端信息,其他非网关AP可以接收新接入的无线终端的终端信息,根据新接入的无线终端的终端信息,更新在线信息。或者,若有无线终端与本AP断开连接,那么,本AP可以向网关AP上报断开连接的无线终端的终端信息,这样,网关AP可以在接收到断开连接的无线终端的终端信息之后,向其他非网关AP下发断开连接的无线终端的终端信息,其他非网关AP可以接收断开连接的无线终端的终端信息,根据断开连接的无线终端的终端信息,更新在线信息。
[0093] 另一种实现方式中,本AP可能为Fat AP组网中的网关AP,在这情况下,本AP可以根据非网关AP上传的终端信息,生成在线信息。
[0094] 举例而言,首先,本AP可以与各个非网关AP建立连接,并接收每个非网关AP上报的当前接入该非网关AP的无线终端的终端信息,然后,根据非网关AP上报的终端信息及本AP自身接入的无线终端的终端信息,生成在线信息,同时,还可以向非网关AP下发在线信息。
[0095] 当当前接入Fat AP组网的无线终端发生变化时,本AP可以通过接收每个非网关AP上报的断开连接的无线终端的终端信息,或者,也可以直接获取与本AP断开连接的无线终端的终端信息,从而获取到发生变化的无线终端的终端信息,进而,可以向其他非网关AP下发发生变化的无线终端的终端信息。
[0096] 比如,若有新的无线终端接入本AP,那么,本AP可以接收各个非网关AP上报的新接入的无线终端的终端信息,同时,还可以获取新接入本AP的无线终端的终端信息,然后,向非网关AP下发新接入的无线终端的终端信息,这样,非网关AP可以根据新接入的无线终端的终端信息,更新在线信息。或者,若有无线终端与本AP断开连接,那么,本AP可以接收各个非网关AP上报的断开连接的无线终端的终端信息,同时,还可以获取与本AP断开连接的无线终端的终端信息,然后,向非网关AP下发断开连接的无线终端的终端信息,这样,非网关AP可以根据断开连接的无线终端的终端信息更新在线信息。
[0097] 在本发明实施例中,非网关AP与网关AP之间的信息传递可以通过CAPWAP(Control And Provisioning of Wireless Access Points,无线接入点的控制和配置)协议实现。
[0098] 举例而言,非网关AP上报当前接入非网关AP的无线终端的终端信息、或上报新接入的无线终端的终端信息、断开连接的无线终端的终端信息时,可以通过基于CAPWAP协议的WTP(Wireless Termination Points,无线终端点)事件
请求信息上报当前接入AP的无线终端的终端信息,其中,终端信息可以为Vendor TLV(TLV格式的供应商报文)信息。网关AP可以通过基于CAPWAP协议的Configuration Update Request(配置更新请求报文)下发终端信息,比如,可以在配置更新请求报文中携带Vendor TLV。
[0099] 其中,终端信息中可以包括对应的无线终端的MAC地址、SSID、BSSID(Basic Service Set Identifier,基础服务集标识)、IP地址、接入时间等信息。
[0100] S103:判断源地址信息对应的SSID是否与目的地址信息对应的SSID相同。
[0101] 其中,源地址信息对应的SSID为待转发报文的源地址信息对应的源无线终端所接入的BSS口的SSID,目的地址信息对应的SSID为待转发报文的目的地址信息对应的目的无线终端所接入的BSS口的SSID。
[0102] 举例而言,SSID可以为某一BSS口所属的虚拟局域网的名称,在这种情况下,当待转发报文的源无线终端所接入的虚拟局域网的名称与目的无线终端所接入的虚拟局域网的名称相同时,可以判定源地址信息对应的SSID与目的地址信息对应的SSID相同。
[0103] S104:若相同,则丢弃待转发报文。
[0104] 在判断待转发报文的源地址信息对应的SSID与目的地址信息对应的SSID相同的情况下,表明待转发报文的源无线终端与目的无线终端处于同一虚拟局域网中,在这种情况下,可以丢弃待转发报文,从而实现用户隔离。
[0105] 若判断待转发报文的源地址信息对应的SSID与目的地址信息对应的SSID不相同,则表明待转发报文的源无线终端与目的无线终端不处于同一虚拟局域网中,在这种情况下,可以向目的无线终端转发待转发报文。
[0106] 由以上可见,本发明实施例提供的报文处理方法,在线信息中包括当前接入Fat AP组网的无线终端的地址信息及无线终端所接入的BSS口的SSID,基于此,若AP可以在在线信息中查询到待转发报文的源地址信息及目的地址信息,表明待转发报文的源地址信息和目的地址信息均为接入Fat AP组网的无线终端的地址信息,进而,可以在在线信息中查询源地址信息及目的地址信息对应的SSID,在待转发报文的源地址信息对应的SSID和目的地址信息对应的SSID相同的情况下,表明待转发报文的源地址信息对应的无线终端和目的地址信息对应的无线终端处于SSID相同的同一虚拟局域网中,则丢弃该待转发报文,待转发报文不会在处于同一虚拟局域网中的无线终端之间转发,从而实现了无线终端之间的用户隔离,提升了Fat AP组网下的通信安全。
[0107] 如图3所示,为本发明实施例提供的一种报文处理装置的结构示意图,该装置应用于Fat AP组网中的任一AP,Fat AP组网中包括一个网关AP及多个非网关AP,每个非网关AP分别与网关AP通信连接,该装置包括:
[0108] 获取模块301,用于在接收到待转发报文后,从待转发报文中,获取待转发报文的源地址信息及目的地址信息;
[0109] 查询模块302,用于基于在线信息,查询源地址信息对应的SSID,以及目的地址信息对应的SSID,在线信息中包括当前接入所述Fat AP组网的无线终端的地址信息及无线终端所接入的BSS口的SSID;
[0110] 判断模块303,用于判断源地址信息对应的SSID是否与目的地址信息对应的SSID相同;
[0111] 转发模块304,用于在源地址信息对应的SSID与目的地址信息对应的SSID相同的情况下,丢弃待转发报文。
[0112] 可选的,获取模块301,具体用于:
[0113] 在接收到待转发报文后,从待转发报文中,获取待转发报文的目的地址信息;
[0114] 判断目的地址信息是否为接入AP的无线终端的地址信息;
[0115] 若是,则执行获取待转发报文的源地址信息,执行基于在线信息,查询源地址信息对应的SSID,以及目的地址信息对应的SSID的步骤。
[0116] 可选的,AP为非网关AP;装置还包括:
[0117] 上报模块(图中未示出),用于与网关AP建立连接,向网关AP上报当前接入AP的无线终端的终端信息,以使网关AP根据多个非网关AP上报的终端信息及网关AP自身接入的无线终端的终端信息,生成并下发在线信息;
[0118] 在线信息处理模块(图中未示出),用于接收网关AP下发的在线信息。
[0119] 可选的,上报模块(图中未示出),还用于若有新的无线终端接入,则上报新接入的无线终端的终端信息,以使网关AP向除AP之外的非网关AP下发新接入的无线终端的终端信息;
[0120] 在线信息处理模块(图中未示出),还用于根据新接入的无线终端的终端信息,更新在线信息。
[0121] 可选的,上报模块(图中未示出),还用于若有无线终端与AP断开连接,则上报断开连接的无线终端的终端信息,以使网关AP向除AP之外的非网关AP下发断开连接的无线终端的终端信息;
[0122] 在线信息处理模块(图中未示出),还用于根据断开连接的无线终端的终端信息,更新在线信息。
[0123] 可选的,AP为网关AP;该装置还包括:
[0124] 接收模块(图中未示出),用于与多个非网关AP建立连接,接收每个非网关AP上报的当前接入该非网关AP的无线终端的终端信息;
[0125] 下发模块(图中未示出),用于根据多个非网关AP上报的终端信息及AP自身接入的无线终端的终端信息,生成并向多个非网关AP下发在线信息。
[0126] 可选的,接收模块(图中未示出),还用于接收每个非网关AP上报的新接入的无线终端的终端信息,和/或,获取新接入AP的无线终端的终端信息;
[0127] 下发模块(图中未示出),还用于向多个非网关AP下发新接入的无线终端的终端信息,以使多个非网关AP根据新接入的无线终端的终端信息更新在线信息。
[0128] 可选的,接收模块(图中未示出),还用于接收每个非网关AP上报的断开连接的无线终端的终端信息,和/或,获取与AP断开连接的无线终端的终端信息;
[0129] 下发模块(图中未示出),还用于向多个非网关AP下发断开连接的无线终端的终端信息,以使多个非网关AP根据断开连接的无线终端的终端信息更新在线信息。
[0130] 由以上可见,本发明实施例提供的报文处理装置,在线信息中包括当前接入Fat AP组网的无线终端的地址信息及无线终端所接入的BSS口的SSID,基于此,若AP可以在在线信息中查询到待转发报文的源地址信息及目的地址信息,表明待转发报文的源地址信息和目的地址信息均为接入Fat AP组网的无线终端的地址信息,进而,可以在在线信息中查询源地址信息及目的地址信息对应的SSID,在待转发报文的源地址信息对应的SSID和目的地址信息对应的SSID相同的情况下,表明待转发报文的源地址信息对应的无线终端和目的地址信息对应的无线终端处于SSID相同的同一虚拟局域网中,则丢弃该待转发报文,待转发报文不会在处于同一虚拟局域网中的无线终端之间转发,从而实现了无线终端之间的用户隔离,提升了Fat AP组网下的通信安全。
[0131] 本发明实施例还提供了一种电子设备,如图4所示,包括处理器401、通信接口402、存储器403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信,
[0132] 存储器403,用于存放计算机程序;
[0133] 处理器401,用于执行存储器403上所存放的程序时,实现如下步骤:
[0134] 在接收到待转发报文后,从待转发报文中,获取待转发报文的源地址信息及目的地址信息;
[0135] 基于在线信息,查询源地址信息对应的SSID,以及目的地址信息对应的SSID,在线信息中包括当前接入Fat AP组网的无线终端的地址信息及无线终端所接入的BSS口的SSID;
[0136] 判断源地址信息对应的SSID是否与目的地址信息对应的SSID相同;
[0137] 若相同,则丢弃待转发报文。
[0138] 上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral Component Interconnect,PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture,EISA)总线等。该通信总线可以分为
地址总线、
数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
[0139] 通信接口用于上述电子设备与其他设备之间的通信。
[0140] 存储器可以包括
随机存取存储器(Random Access Memory,RAM),也可以包括
非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
[0141] 上述的处理器可以是通用处理器,包括
中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字
信号处理器(Digital Signal Processing,DSP)、专用集成
电路(Application Specific Integrated Circuit,ASIC)、现场可编程
门阵列(Field-Programmable Gate Array,FPGA)或者其他
可编程逻辑器件、分立门或者晶体管逻辑器件、分立
硬件组件。
[0142] 由以上可见,本发明实施例提供的报文处理方法,在线信息中包括当前接入Fat AP组网的无线终端的地址信息及无线终端所接入的BSS口的SSID,基于此,若AP可以在在线信息中查询到待转发报文的源地址信息及目的地址信息,表明待转发报文的源地址信息和目的地址信息均为接入Fat AP组网的无线终端的地址信息,进而,可以在在线信息中查询源地址信息及目的地址信息对应的SSID,在待转发报文的源地址信息对应的SSID和目的地址信息对应的SSID相同的情况下,表明待转发报文的源地址信息对应的无线终端和目的地址信息对应的无线终端处于SSID相同的同一虚拟局域网中,则丢弃该待转发报文,待转发报文不会在处于同一虚拟局域网中的无线终端之间转发,从而实现了无线终端之间的用户隔离,提升了Fat AP组网下的通信安全。
[0143] 在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一的报文处理方法。
[0144] 在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一的报文处理方法。
[0145] 在上述实施例中,可以全部或部分地通过
软件、硬件、
固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本
申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、
计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个
网站站点、计算机、
服务器或
数据中心通过有线(例如同轴
电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、
微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是
磁性介质,(例如,
软盘、
硬盘、磁带)、光介质(例如,DVD)、或者
半导体介质(例如固态硬盘Solid State Disk(SSD))等。
[0146] 需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0147] 本
说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例、电子设备实施例、存储介质实施例及计算机程序产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0148] 以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何
修改、等同替换、改进等,均包含在本发明的保护范围内。
