CN101374110B - 无线服务网络中报文的处理方法、系统和设备 - Google Patents
无线服务网络中报文的处理方法、系统和设备 Download PDFInfo
- Publication number
- CN101374110B CN101374110B CN2008101676726A CN200810167672A CN101374110B CN 101374110 B CN101374110 B CN 101374110B CN 2008101676726 A CN2008101676726 A CN 2008101676726A CN 200810167672 A CN200810167672 A CN 200810167672A CN 101374110 B CN101374110 B CN 101374110B
- Authority
- CN
- China
- Prior art keywords
- message
- safety zone
- vlanif
- bss
- external network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000005540 biological transmission Effects 0.000 claims description 10
- 238000003672 processing method Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000008878 coupling Effects 0.000 description 4
- 238000010168 coupling process Methods 0.000 description 4
- 238000005859 coupling reaction Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000002955 isolation Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的实施例公开了一种无线服务网络中报文的处理方法、系统和设备。应用于配置有多个无线服务网络的接入点AP设备中,所述每个无线服务网络通过基本服务集BSS进行区分,每个BSS具有不同的虚拟局域网接口VLANIF,所述方法包括:接收BSS中的VLANIF与外部网络接口之间交互的报文;获取所述VLANIF所加入的第一安全区域、以及所述外部网络接口所加入的第二安全区域;根据所述第一安全区域和所述第二安全区域间的安全策略对所述报文进行处理。本发明的实施例中,简便的实现了对不同BSS的访问控制,降低了系统的成本和配置复杂度。另外,通过设置不同的安全策略提高了访问控制的灵活度。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种无线服务网络中报文的处理方法、系统和设备。
背景技术
当前,WIFI(wireless fidelity,无线保真技术)无线局域网的应用已经越来越普及。从手机,PC,笔记本电脑到其他WIFI移动设备。有越来越多的用户需要通过WIFI网络连接到Internet。早期的设备只能支持创建一个BSS(Basic Service Set,基本服务集),也就是一个AP(Access Point,接入点)只能为用户提供一个“无线网络”,而且该网络上的所有用户的权限基本都相同。而随着当前无线网络的普及,产生了一个AP接入点提供多个无线网络的需求。
举例而言,各机构会有携带WIFI设备的访客,而且这些WIFI设备需要和因特网连接。现有技术中为了满足这些作为非可信用户的访客的上网需求,通常会在相同的AP接入点上提供多个无线网络。例如在同一个AP上创建2个BSS,其中一个称为Public并供访客使用,另一个称为Corporate并供内部用户使用。访客只能加入Public网络,之后可以访问Internet,但不能访问内部网络。而内部用户可以加入到Corporate网络后,能够访问内部网络。该实例中的每个BSS都相当于一个虚拟AP,拥有自己的SSID(Service Set Identifier,服务集标识),MAC(Media Access Control,媒体访问控制)地址、身份验证设置和加密设定,并使用不同的安全策略。
为了实现上述虚拟AP之间的隔离和访问控制,现有技术中一般使用VLAN(Virtual Local Area Network,虚拟局域网)技术。以图1所示的组网环境为例,为每个BSS分配一个VLAN,不同VLAN之间不能相互访问。AP的上行端口是Trunk口,可以用于传送不同VALN的数据。而Public网络属于VLAN1,Corporate网络和内网的Authentication Server(鉴权服务器)属于VLAN2。因为属于不同的VLAN,Public网络用户无法访问Corporate无线网络和内网的鉴权服务器,即通过划分不同的VLAN实现了不同BSS的访问控制。
发明人发现现有技术中的实现方式存在以下问题:
在现有BSS的应用中,需要另外部署具有VLAN功能的交换机并对AP和交换机进行配置,这增加了系统的成本和配置复杂度。另外,通过VLAN划分实现不同BSS的访问控制时,在访问控制的实现上不够灵活。
发明内容
本发明的实施例提供一种无线服务网络中报文的处理方法、系统和设备,降低了系统的成本和配置复杂度。
本发明的实施例提供一种无线服务网络中报文的处理方法,应用于配置有多个无线服务网络的接入点AP设备中,每个所述无线服务网络通过基本服务集BSS进行区分,每个BSS具有不同的虚拟局域网接口VLANIF,所述方法包括:
为所述多个BSS分配VLAN并为每个BSS创建相应的VLANIF;将所述VLANIF加入特定的安全区域;设置所述VLANIF加入的第一安全区域与外部网络接口加入的第二安全区域间的安全策略;
接收BSS中的VLANIF与外部网络接口之间交互的报文;
获取所述VLANIF所加入的第一安全区域、以及所述外部网络接口所加入的第二安全区域;
根据所述第一安全区域和所述第二安全区域间的安全策略对所述报文进行处理。
本发明的实施例还提供一种接入点AP设备,所述AP设备上配置有多个无线服务网络,每个所述无线服务网络通过BSS进行区分,每个BSS具有不同的VLANIF,所述AP设备包括:
报文接收单元,用于接收BSS中的VLANIF与外部网络接口之间交互的报文;
配置单元,用于为所述多个BSS分配VLAN并为每个BSS创建相应的VLANIF;将所述VLANIF加入特定的安全区域;设置所述VLANIF加入的第一安全区域与外部网络接口加入的第二安全区域间的安全策略;
安全区域获取单元,用于获取所述VLANIF所加入的第一安全区域、以及所述外部网络接口所加入的第二安全区域;
报文处理单元,用于根据所述第一安全区域和所述第二安全区域间的安全策略对所述报文进行处理。
本发明的实施例还提供一种网络系统,所述AP设备上配置有多个无线服务网络,每个所述无线服务网络通过基本服务集BSS进行区分,每个BSS具有不同的VLANIF,
所述用户终端,用于接入BSS并通过所述BSS的VLANIF将需要向外部网络发送的报文向所述AP发送,并接收所述AP通过所述BSS的VLANIF发送的来自外部网络的报文;
所述AP,包括:配置单元,用于为所述多个BSS分配VLAN并为每个BSS创建相应的VLANIF;将所述VLANIF加入特定的安全区域;设置所述VLANIF加入的第一安全区域与外部网络接口加入的第二安全区域间的安全策略;报文接收单元,用于接收BSS中的VLANIF与外部网络之间交互的报文;安全区域获取单元,用于获取所述VLANIF所加入的第一安全区域、以及所述外部网络接口所加入的第二安全区域;报文处理单元,用于根据所述第一安全区域和所述第二安全区域间的安全策略对所述报文进行处理。
与现有技术相比,本发明的实施例具有以下优点:
本发明的实施例中,为不同的BSS设置VLANIF,接收BSS中通过VLANIF发送的报文并根据不同安全区域间的安全策略对报文进行处理。从而不需要部署交换机就能简便的实现对不同BSS的访问控制,降低了系统的成本和配置复杂度。另外,通过设置不同的安全策略提高了访问控制的灵活度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术通过VLAN划分实现不同BSS的访问控制的示意图;
图2是本发明实施例无线服务网络中报文的处理方法流程图;
图3是本发明实施例配置AP的方法流程图;
图4是本发明实施例实现不同BSS的访问控制的示意图;
图5是本发明实施例对BSS向外部网络发送的报文进行处理的方法流程图;
图6是本发明实施例对外部网络向BSS发送的报文进行处理的方法流程图;
图7是本发明实施例提供的AP的结构示意图;
图8是本发明实施例提供的AP的另一结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的实施例提供了一种无线服务网络中报文的处理方法,应用于配置有多个无线服务网络的接入点AP设备中,每个多个无线服务网络通过基本服务集BSS进行区分,每个BSS具有不同的虚拟局域网接口VLANIF(VLAN Interface,虚拟接口)。该方法如图2所示,包括:
步骤s201、接收BSS中的VLANIF与外部网络接口之间交互的报文。
步骤s202、获取VLANIF所加入的第一安全区域、以及外部网络接口所加入的第二安全区域。
步骤s203、根据第一安全区域和第二安全区域间的安全策略对报文进行处理。
本发明的实施例提供的上述方法中,为不同的BSS设置VLANIF,接收BSS中通过VLANIF发送的报文并根据不同安全区域间的安全策略对报文进行处理。从而不需要部署交换机就能简便的实现对不同BSS的访问控制,降低了系统的成本和配置复杂度。另外,通过设置不同的安全策略提高了访问控制的灵活度。
本发明的实施中,通过为BSS配置VLANIF,并将BSS的VLANIF加入到安全区域,进而实现对BSS的访问控制。具体的,在AP上创建BSS后,给BSS分配VLAN,同时创建对应的VLANIF接口。通过VLAN的划分,将不同BSS划分到不同的VLAN,不同BSS无法相互访问,从而通过VLAN可以实现BSS间的隔离。在不进行其他配置的情况下,BSS网络内的用户终端不可以访问其他网络,如Internet或者内部网络。BSS要向其他网络发送报文时,必须先将BSS的VLANIF加入到安全区域,并配置安全区域中的安全策略,只有在BSS中待发送的报文符合安全区域的安全策略时,该报文才可以发送到其他网络。
本发明实施例中,在AP进行BSS配置的具体方法如图3所示,包括以下步骤:
步骤s301、在AP上创建BSS。
步骤s302、为BSS分配VLAN,并同时创建VLANIF。
步骤s303、在AP上为VLANIF配置IP地址,并同时配置VLANIF的DHCP服务器。该DHCP服务器用于向后续接入该BSS的用户终端分配IP地址。
步骤s304、将VLANIF加入到特定的安全区域。
具体的,该安全区域可以为DMZ区域。
步骤s305、配置不同安全区域间的安全策略,则BSS到其他网络的访问受安全区域间安全策略的控制。
具体的,该安全策略可以通过ACL(Access Control List,接入控制列表)或其他方式进行配置。安全策略的具体内容可以为:允许IP地址为特定网段(如192.168.*.*)的用户终端的报文通过、允许特定类型的报文通过、允许具有特定MAC(Medium Access Control,媒体接入控制)地址的用户终端的报文通过等等。
以下结合一个具体的网络场景,说明本发明实施例的具体实施方式。以图4所示的组网环境为例,将Public BSS的VLANIF1加入到Default(缺省)域,将Corporate BSS的VLAN2加入到Trust(信任)域,将AP上连接Public网络的接口Portl加入到Untrust(非信任)域,将AP上连接Cooperate网络的接口Port2加入DMZ(Demilitarized Zone,非信任区)域。
DMZ区域的作用在于,把WEB服务器、E-mail服务器等允许外部访问的服务器单独接在DMZ区域。DMZ区域相当于一个既不属于内部网络,也不属于外部网络的一个相对独立的区域,一般处于内部网络与外部网络之间。其用处在于:在实际的运用中,某些主机需要对外提供服务,为了更好地提供优质的服务,并同时又要有效地保护内部网络的安全,将这些需要对外开放的主机放置在DMZ区域中,与内部的网络设备分隔开来,并根据不同的需要有针对性地采取相应的防火墙措施,这样便能在对外提供友好的服务的同时最大限度地保护了内部网络。
本发明的实施例中,结合上述图4所示的网络场景,以对BSS中一向外部网络发送的报文的访问控制为例,说明BSS网络到其他网络的访问控制方法,如图5所示,包括以下步骤:
步骤s501、接收通过VLANIF发送的报文。
具体的,假设AP从VLANIF1接收到来自Public BSS中的用户终端发送的报文,报文的目的地址属于Public网络。
步骤s502、判断入接口是否属于安全区域,是则继续,否则进行步骤s509。
具体的,本发明实施例中,在AP上配置的区域都属于安全区域,因此,由于VLANIF1属于Default域,AP判断VLANIF1属于安全区域。对于入接口不属于安全区域的报文,进行步骤s509。
步骤s503、根据目的地址查找路由,确定报文的出接口。
具体的,AP根据报文的目的地址、以及本地的路由表,确定报文的出接口为Port1。
步骤s504、判断报文出接口是否合法,是则继续,否则进行步骤s509。
具体的,由于Port1确实存在,因此AP判断出接口为合法。对于不存在的出接口,进行步骤s509。
步骤s505、判断出接口是否属于安全区域,是则继续,否则进行步骤s509。
具体的,由于Port1属于Untrust域,AP判断出接口Port1属于安全区域。对于入接口不属于安全区域的报文,进行步骤s509。
步骤s506、根据入接口所属安全区域与出接口所属安全区域间的安全策略进行报文匹配过滤。
具体的,AP根据Default域与Untrust域间的安全策略进行报文匹配过滤。
步骤s507、判断报文是否符合安全策略,是则继续,否则进行步骤s509。
步骤s508、向出接口转发报文,结束该报文转发流程。
具体的,AP判断报文符合入接口所属安全区域与出接口所属安全区域间的安全策略时,向出接口即Port1转发报文。
步骤s509、丢弃该报文或不对该报文进行处理。
通过上述步骤,实现了对BSS中向外部网络发送的报文的访问控制。本发明的实施例提供的上述方法中,为不同的BSS设置VLANIF,接收BSS中通过VLANIF发送的报文并根据不同安全区域间的安全策略对报文进行处理。从而简便的实现了对不同BSS的访问控制,降低了系统的成本和配置复杂度。另外,通过设置不同的安全策略提高了访问控制的灵活度。
本发明实施例中,以对外部网络向BSS发送的报文的访问控制为例,说明其他网络到BSS网络的访问控制方法,如图6所示,包括以下步骤:
步骤s601、接收外部网络发送的报文。
具体的,假设AP从Port1接收到来自Public网络的报文,报文的目的地址属于Public BSS。
步骤s602、判断入接口是否属于安全区域,是则继续,否则进行步骤s609。
具体的,本发明实施例中,在AP上配置的区域都属于安全区域,因此,由于Port1属于Untrust域,AP判断Port1属于安全区域。对于入接口不属于安全区域的报文,进行步骤s609。
步骤s603、根据目的地址查找路由,确定报文的出接口VLANIF。
具体的,AP根据报文的目的地址、以及本地的路由表,确定报文的出接口为VLANIF1。
步骤s604、判断判定报文出接口VLANIF是否合法,是则继续,否则进行步骤s609。
具体的,由于VLANIF1确实存在,因此AP判断出接口为合法。对于不存在的出接口,进行步骤s609。
步骤s605、判断出接口VLANIF是否属于安全区域,是则继续,否则进行步骤s609。
具体的,由于VLANIF1属于Default域,AP判断出接口VLANIF1属于安全区域。对于入接口不属于安全区域的报文,进行步骤s609。
步骤s606、根据入接口所属安全区域和出接口所属安全区域之间的安全策略进行报文匹配过滤。
具体的,AP根据Default域与Untrust域间的安全策略进行报文匹配过滤。
步骤s607、判断报文是否符合安全策略,是则继续,否则进行步骤s609。
步骤s608、向出接口转发报文,结束该报文转发流程。
具体的,AP判断报文符合入接口所属安全区域与出接口所属安全区域间的安全策略时,向出接口即VLANIF1转发报文。
步骤s609、丢弃该报文或不对该报文进行处理。
通过上述步骤,实现了对外部网络向BSS中发送的报文的访问控制。以上只是以报文在Default域与Untrust域间的互转发为例对本发明实施例的具体实施方式进行说明,对于其他域间报文的互转发方法,与上述报文在Default域与Untrust域间的互转发相似,在此不进行重复描述。
本发明的实施例提供的上述方法中,为不同的BSS设置VLANIF,接收BSS中通过VLANIF发送的报文并根据不同安全区域间的安全区域中的安全策略对报文进行处理。从而不需要部署交换机就能简便的实现对不同BSS的访问控制,降低了系统的成本和配置复杂度。另外,通过设置不同的安全策略提高了访问控制的灵活度。
本发明的实施例还提供一种网络系统,包括用户终端和AP,AP设备上配置有多个无线服务网络,每个无线服务网络通过基本服务集BSS进行区分,每个BSS具有不同的VLANIF,
用户终端,用于接入BSS并通过BSS的VLANIF将需要向外部网络发送的报文向AP发送,并接收AP通过BSS的VLANIF发送的来自外部网络的报文;
AP,用于接收BSS中的VLANIF与外部网络之间交互的报文;获取VLANIF所加入的第一安全区域、以及外部网络接口所加入的第二安全区域;根据第一安全区域和第二安全区域间的安全策略对报文进行处理。
本发明的实施例还提供一种接入点AP设备,AP设备上配置有多个无线服务网络,每个无线服务网络通过BSS进行区分,每个BSS具有不同的VLANIF。具体的,如图7所示,该AP设备包括:
报文接收单元10,用于接收BSS中的VLANIF与外部网络接口之间交互的报文;
安全区域获取单元20,用于获取VLANIF所加入的第一安全区域、以及外部网络接口所加入的第二安全区域;
报文处理单元30,用于根据第一安全区域和第二安全区域间的安全策略对报文进行处理。
本发明的另一实施例中,如图8所示,该AP设备还包括:
配置单元40,用于为多个BSS分配VLAN并为每个BSS创建相应的VLANIF;将各VLANIF加入特定的安全区域;设置VLANIF加入的安全区域与外部网络接口加入的安全区域间的安全策略。
另外,该AP设备的安全区域获取单元20可以进一步包括:
第一获取子单元21,用于当报文为BSS中的用户终端向通过VLANIF向外部网络发送的报文时,获取报文的入接口VLANIF所加入的第一安全区域;根据报文的目的地址确定报文的出接口即外部网络接口;获取外部网络接口所加入的第二安全区域;
第二获取子单元22,用于当报文为外部网络通过VLANIF向BSS中的用户终端发送的报文时,获取报文的入接口即外部网络接口所加入的第二安全区域;根据报文的目的地址确定报文的出接口即VLANIF;获取VLANIF所加入的第一安全区域。
另外,该AP设备的报文处理单元30具体用于:当报文符合安全区域中的安全策略的要求时,转发报文到报文的目的地址;否则不对报文进行处理。
本发明的实施例提供的上述系统和设备中,为不同的BSS设置VLANIF,接收BSS中通过VLANIF发送的报文并根据不同安全区域间的安全策略对报文进行处理。从而简便的实现了对不同BSS的访问控制,降低了系统的成本和配置复杂度。另外,通过设置不同的安全策略提高了访问控制的灵活度。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (9)
1.一种无线服务网络中报文的处理方法,其特征在于,应用于配置有多个无线服务网络的接入点AP设备中,每个所述无线服务网络通过基本服务集BSS进行区分,每个BSS配置有不同的虚拟局域网接口VLANIF,所述方法包括:
为所述多个BSS分配VLAN并为每个BSS创建相应的VLANIF;将所述VLANIF加入特定的安全区域;设置所述VLANIF加入的第一安全区域与外部网络接口加入的第二安全区域间的安全策略;
接收BSS中的VLANIF与外部网络接口之间交互的报文;
获取所述VLANIF所加入的第一安全区域、以及所述外部网络接口所加入的第二安全区域;
根据所述第一安全区域和所述第二安全区域间的安全策略对所述报文进行处理。
2.如权利要求1所述的方法,其特征在于,所述报文为BSS中的用户终端通过VLANIF向外部网络发送的报文时,所述获取所述VLANIF所加入的第一安全区域、以及所述外部网络接口所加入的第二安全区域包括:
获取报文的入接口VLANIF所加入的第一安全区域;
根据所述报文的目的地址确定所述报文的出接口即外部网络接口;
获取所述外部网络接口所加入的第二安全区域。
3.如权利要求1所述的方法,其特征在于,所述报文为外部网络通过VLANIF向BSS中的用户终端发送的报文时,所述获取所述VLANIF所加入的第一安全区域、以及所述外部网络接口所加入的第二安全区域包括:
获取报文的入接口即外部网络接口所加入的第二安全区域;
根据所述报文的目的地址确定所述报文的出接口即VLANIF;
获取所述VLANIF所加入的第一安全区域。
4.如权利要求1所述的方法,其特征在于,根据所述安全区域中的安全策略对所述报文进行处理包括:
所述报文符合所述安全区域中的安全策略的要求时,转发所述报文到所述报文的目的地址;否则不对所述报文进行处理。
5.如权利要求1、4所述的方法,其特征在于,所述安全策略包括预先设定的过滤条件;
所述符合所述安全区域中的安全策略的要求包括:根据所述安全策略中预先设定的过滤条件对报文进行匹配,匹配成功时判断所述报文符合所述安全区域中的安全策略的要求。
6.一种接入点AP设备,其特征在于,所述AP设备上配置有多个无线服务网络,每个所述无线服务网络通过BSS进行区分,每个BSS具有不同的VLANIF,所述AP设备包括:
报文接收单元,用于接收BSS中的VLANIF与外部网络接口之间交互的报文;
配置单元,用于为所述多个BSS分配VLAN并为每个BSS创建相应的VLANIF;将所述VLANIF加入特定的安全区域;设置所述VLANIF加入的第一安全区域与外部网络接口加入的第二安全区域间的安全策略;
安全区域获取单元,用于获取所述VLANIF所加入的第一安全区域、以及所述外部网络接口所加入的第二安全区域;
报文处理单元,用于根据所述第一安全区域和所述第二安全区域间的安全策略对所述报文进行处理。
7.如权利要求6所述的接入点AP设备,其特征在于,所述安全区域获取单元包括:
第一获取子单元,用于当所述报文为BSS中的用户终端通过VLANIF向外部网络发送的报文时,获取报文的入接口VLANIF所加入的第一安全区域;根据所述报文的目的地址确定所述报文的出接口即外部网络接口;获取所述外部网络接口所加入的第二安全区域;
第二获取子单元,用于当所述报文为外部网络通过VLANIF向BSS中的用户终端发送的报文时,获取报文的入接口即外部网络接口所加入的第二安全区域;根据所述报文的目的地址确定所述报文的出接口即VLANIF;获取所述VLANIF所加入的第一安全区域。
8.如权利要求6所述的接入点AP设备,其特征在于,所述报文处理单元具体用于:
当所述报文符合所述安全区域中的安全策略的要求时,转发所述报文到所述报文的目的地址;否则不对所述报文进行处理。
9.一种网络系统,包括用户终端和AP,其特征在于,所述AP设备上配置有多个无线服务网络,每个所述无线服务网络通过基本服务集BSS进行区分,每个BSS具有不同的VLANIF,
所述用户终端,用于接入BSS并通过所述BSS的VLANIF将需要向外部网络发送的报文向所述AP发送,并接收所述AP通过所述BSS的VLANIF发送的来自外部网络的报文;
所述AP,包括:配置单元,用于为所述多个BSS分配VLAN并为每个BSS创建相应的VLANIF;将所述VLANIF加入特定的安全区域;设置所述VLANIF加入的第一安全区域与外部网络接口加入的第二安全区域间的安全策略;报文接收单元,用于接收BSS中的VLANIF与外部网络之间交互的报文;安全区域获取单元,用于获取所述VLANIF所加入的第一安全区域、以及所述外部网络接口所加入的第二安全区域;报文处理单元,用于根据所述第一安全区域和所述第二安全区域间的安全策略对所述报文进行处理。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101676726A CN101374110B (zh) | 2008-10-22 | 2008-10-22 | 无线服务网络中报文的处理方法、系统和设备 |
| PCT/CN2009/074105 WO2010045833A1 (zh) | 2008-10-22 | 2009-09-22 | 无线服务网络中报文的处理方法、系统和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101676726A CN101374110B (zh) | 2008-10-22 | 2008-10-22 | 无线服务网络中报文的处理方法、系统和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101374110A CN101374110A (zh) | 2009-02-25 |
| CN101374110B true CN101374110B (zh) | 2011-05-11 |
Family
ID=40448042
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101676726A Expired - Fee Related CN101374110B (zh) | 2008-10-22 | 2008-10-22 | 无线服务网络中报文的处理方法、系统和设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101374110B (zh) |
| WO (1) | WO2010045833A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101374110B (zh) * | 2008-10-22 | 2011-05-11 | 成都市华为赛门铁克科技有限公司 | 无线服务网络中报文的处理方法、系统和设备 |
| CN101714927B (zh) * | 2010-01-15 | 2012-04-18 | 福建伊时代信息科技股份有限公司 | 内网安全综合管理的网络接入控制方法 |
| CN101867620B (zh) * | 2010-07-02 | 2013-04-24 | 南京南瑞继保电气有限公司 | 一种跨安全区查看前置报文的方法 |
| CN102547708A (zh) * | 2012-02-22 | 2012-07-04 | 深圳市共进电子股份有限公司 | 一种无线虚拟接入点间隔离的实现方法 |
| US20150319009A1 (en) * | 2012-12-12 | 2015-11-05 | Telefonaktiebolaget L M Ericsson (Publ) | Method and Device for VLAN Interface Routing |
| CN103795566A (zh) * | 2013-12-30 | 2014-05-14 | 马钢控制技术有限责任公司 | 计算机网络系统及其控制方法 |
| CN106507414B (zh) * | 2016-10-12 | 2020-02-11 | 杭州迪普科技股份有限公司 | 报文转发方法及装置 |
| CN106804045B (zh) * | 2016-12-30 | 2020-03-03 | Oppo广东移动通信有限公司 | 一种广播消息的转发控制方法及接入设备 |
| CN112804131B (zh) * | 2021-01-08 | 2021-12-07 | 上海自恒信息科技有限公司 | 一种基于vlan构造的访问控制方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1949741A (zh) * | 2005-10-11 | 2007-04-18 | 华为技术有限公司 | 一种处理跨越不同防火墙间数据流的方法 |
| CN1972224A (zh) * | 2005-11-24 | 2007-05-30 | 鸿富锦精密工业(深圳)有限公司 | 接入点及其建立无线分布系统连线的方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030172142A1 (en) * | 2002-03-11 | 2003-09-11 | David Su | Method for building a vapa by using wireless-LAN interface card |
| CN100358280C (zh) * | 2003-06-18 | 2007-12-26 | 联想(北京)有限公司 | 一种网络安全装置及其实现方法 |
| US8713626B2 (en) * | 2003-10-16 | 2014-04-29 | Cisco Technology, Inc. | Network client validation of network management frames |
| CN101170514B (zh) * | 2007-12-04 | 2010-06-02 | 华为技术有限公司 | 实现接入电路接口间访问控制的方法和装置 |
| CN101374110B (zh) * | 2008-10-22 | 2011-05-11 | 成都市华为赛门铁克科技有限公司 | 无线服务网络中报文的处理方法、系统和设备 |
-
2008
- 2008-10-22 CN CN2008101676726A patent/CN101374110B/zh not_active Expired - Fee Related
-
2009
- 2009-09-22 WO PCT/CN2009/074105 patent/WO2010045833A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1949741A (zh) * | 2005-10-11 | 2007-04-18 | 华为技术有限公司 | 一种处理跨越不同防火墙间数据流的方法 |
| CN1972224A (zh) * | 2005-11-24 | 2007-05-30 | 鸿富锦精密工业(深圳)有限公司 | 接入点及其建立无线分布系统连线的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101374110A (zh) | 2009-02-25 |
| WO2010045833A1 (zh) | 2010-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101374110B (zh) | 无线服务网络中报文的处理方法、系统和设备 | |
| US10015142B2 (en) | Mobile hotspot managed by access controller | |
| CN101299759B (zh) | Wlan相互连接中的服务和地址管理系统及方法 | |
| EP1784942B1 (en) | A method for dynamically and securely establishing a tunnel | |
| JP5330298B2 (ja) | 公衆アクセス・ポイント | |
| US20150036641A1 (en) | MOBILE PHONE DOCKING STATION VPNs | |
| KR20080026166A (ko) | 다중 네트워크 상호연동에서의 홈 에이전트에 의한 동적 홈어드레스 할당 방법 및 장치 | |
| US20110243058A1 (en) | Communication relay device and communication relay method | |
| US20050157690A1 (en) | Wireless network cell controller | |
| US11910193B2 (en) | Methods and systems for segmenting computing devices in a network | |
| Anipko | Multiple provisioning domain architecture | |
| CA2439568A1 (en) | Hybrid network | |
| CN105939240A (zh) | 负载均衡方法及装置 | |
| Tongkaw et al. | Multi-VLAN design over IPSec VPN for campus network | |
| US9088542B2 (en) | Firewall traversal driven by proximity | |
| CN101951380B (zh) | 轻量级双栈组网中的访问控制方法及其装置 | |
| CN110351772B (zh) | 无线链路和虚拟局域网之间的映射 | |
| CN101447927B (zh) | 用户终端之间三层隔离的方法和路由设备 | |
| Aziz | The importance of VLANs and trunk links in network communication areas | |
| US20190058689A1 (en) | Remote network connection system, access equipment and connection method thereof | |
| US9247570B1 (en) | Wireless network including omnibus access point | |
| JP2010028295A (ja) | Vpnサーバ、通信制御方法、および、プログラム | |
| US20230300138A1 (en) | Multitenant network orchestration | |
| US7817607B1 (en) | Private mobile IP connection in a shared-pool environment | |
| Petrescu et al. | Mobile VPN and V2V NEMO for public transportation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110511 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |