CN102547708A - 一种无线虚拟接入点间隔离的实现方法 - Google Patents
一种无线虚拟接入点间隔离的实现方法 Download PDFInfo
- Publication number
- CN102547708A CN102547708A CN2012100404311A CN201210040431A CN102547708A CN 102547708 A CN102547708 A CN 102547708A CN 2012100404311 A CN2012100404311 A CN 2012100404311A CN 201210040431 A CN201210040431 A CN 201210040431A CN 102547708 A CN102547708 A CN 102547708A
- Authority
- CN
- China
- Prior art keywords
- wireless
- router
- data bag
- access point
- upstream data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种无线虚拟接入点间隔离的实现方法,无线路由器对各虚拟无线虚拟接入点的无线客户端间的用户数据包进行丢弃,只对各虚拟无线虚拟接入点的无线客户端和路由器本身来往的数据包放行;并将各虚拟无线虚拟接入点下的无线客户端和路由器本身来往的数据包中的本地路由转发数据包马上放行,而对其中的不需要转发的数据包进行过滤处理。本发明的技术方案简单、高效。同时扩大了无线路由器的使用场景,也可以在市场上通用的无线路由器芯片方案上实施。
Description
技术领域
本发明涉及无线路由器等网络终端产品,具体涉及无线虚拟接入点间的无线客户端隔离的实现方法,使无线路由器能对各无线虚拟接入点的无线客户端隔离且对各无线虚拟接入点下的接入权限进行有效控制。
背景技术
SSID是Service Set Identifier的缩写,意思是:服务集标识。多SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,通过XP自带的扫描功能可以查看当前区域内的SSID。SSID就是一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。
随着互联网技术的发展,无线路由器的功能越来越强大。为了满足用户的需求,无线路由器大多有实现多SSID功能。多SSID功能实际上是指用一台物理的无线接入点(access point :AP)虚拟出多个虚拟无线接入点(Virtual access point :VAP),而每个VAP在用户侧看到的就相当于一个物理的接入点,有它自己的SSID。所以本发明中提到的VAP和SSID是等价的概念。多SSID功能在不增加用户成本的同时增加了无线路由器的价值,用户可以连入不同的虚拟接入点VAP。目前,无线路由器中的多SSID功能都能实现无线客户端之间相互访问,这样在方便使用的同时可能带来安全的隐患,但是目前还没有一种隔离SSID间无线客户端之间也就是虚拟接入点VAP的无线客户端之间相互访问的方法。
发明内容
本发明的目的是公开一种无线虚拟接入点间隔离的实现方法。对各VAP间加以隔离和对VAP的权限加以控制,多SSID功能就会有更多的使用场景和更好的用户体验。用户可以把权限受限的VAP开放给其他用户使用,而不用担心他们对路由器的安全产生太大的影响。
本发明的技术方案是:一种无线虚拟接入点间隔离的实现方法,无线路由器对各虚拟无线虚拟接入点的无线客户端间的用户数据包进行丢弃,只对各虚拟无线虚拟接入点的无线客户端和路由器本身来往的数据包放行;并将各虚拟无线虚拟接入点下的无线客户端和路由器本身来往的数据包中的本地路由转发数据包马上放行,而对其中的不需要转发的数据包进行后续处理。
进一步的,上述的无线虚拟接入点间隔离的实现方法中:包括如下步骤:
步骤A、无线路由器接收由无线客户端发来的上行数据包;
步骤B、将所述的上行数据包的无线MAC层的目的MAC地址与所述的无线路由器LAN口的MAC地址相比较,如果不相同,则将该上行数据包丢弃,结束,否则,转向步骤C;
步骤C、无线路由器判断所述的上行数据包是否是需要转发的,如果是,则转发上行数据包;否则,转向步骤D;
步骤D、无线路由器判断所述的上行数据包的封包协议类型,如果是基本协议类型,则将所述的上行数据包发往上层应用,否则,将所述的上行数据包丢弃,结束。
进一步的,上述的无线虚拟接入点间隔离的实现方法中:所述的步骤B中:上行数据包的无线MAC层的目的MAC地址与所述的无线路由器LAN口的MAC地址不相同时,无线路由器向该无线客户端发送该上行数据包丢弃的信息提示。
本发明隔离功能启用时,此SSID的用户仅能直接访问因特网及同个SSID网络中的其他客户端。此SSID的所有客户端不能访问路由器的Web管理界面、其他SSID的客户端、以太网络及无线路由器的其他服务。隔离功能禁用时,所有连接到此SSID的用户不仅能访问因特网,还可以像连接首选SSID的用户一样访问此无线路由器的局域网。
通过提供以上的方法,本发明具有以下优点:
1、简单、高效,没有额外的软硬件特殊需求,只需要在原有的软件基础稍加修改就能实现,对路由器原有性能没有影响;
2、扩大了无线路由器的使用场景,用户可以连入不同的VAP,避免相互之间的干扰,但实际上所有的用户还是连入了同一个无线路由器。该方法还能对每个VAP进行对路由器访问的权限限制;
3、可以在市场上通用的无线路由器芯片方案上实施,该方法不依赖具体的软硬件,所以在通用的无线路由器芯片方案上(atheros、broadcom和realtek等)都能实现。
下面结合具体实施例对本发明作较为详细的描述。
附图说明
图1为本发明上行数据流程。
具体实施方式
实施例1如图1所示:本实施例是一种无线虚拟接入点间隔离的实现方法,无线路由器对各虚拟无线虚拟接入点的无线客户端间的用户数据包进行丢弃,只对各虚拟无线虚拟接入点的无线客户端和路由器本身来往的数据包放行;并将各虚拟无线虚拟接入点下的无线客户端和路由器本身来往的数据包中的本地路由转发数据包马上放行,而对其中的不需要转发的数据包进行后续处理。包括如下步骤:
步骤A、无线路由器接收由无线客户端发来的上行数据包;
步骤B、将所述的上行数据包的无线MAC层的目的MAC地址与所述的无线路由器LAN口的MAC地址相比较,如果不相同,则将该上行数据包丢弃,结束,否则,转向步骤C;
步骤C、无线路由器判断所述的上行数据包是否是需要转发的,如果是,则转发上行数据包;否则,转向步骤D;
步骤D、无线路由器判断所述的上行数据包的封包协议类型,如果是基本协议类型,则将所述的上行数据包发往上层应用,否则,将所述的上行数据包丢弃,结束。
具体的为了实现上述目的,本实施例的具体步骤如下:
本实施例中将无线路由器收到的无线客户端的数据包分成以下几种:
数据包A为:SSID也就是无线虚拟接入点间的用户数据包;
数据包B为:无线客户端和路由器本身来往的数据包;
数据包C为:数据包B中由本地路由转发的数据包;
数据包D为:数据包B中不需要转发的数据包;
1)无线路由器对各SSID间的用户数据包A进行丢弃,只对各SSID下的无线客户端和路由器本身来往的数据包B放行;
2)针对数据包B再进行区分,放行数据B中的本地路由转发数据包C,不需要转发的数据包D进行后续处理。路由器从本地无线客户端收到的数据包B中,其中的目的IP地址要么是本路由器,要么是其它主机,其它主机可以为互联网中的主机。我们可以根据目的IP地址就可以区分出数据B中这两类数据包。不需要转发的数据包D是指目的IP是本路由器的包;
3)针对数据包D中DNS,DHCP等基本协议类型的放行,使用户能享受基本无线路由器的基本功能,另外,对基本无线路由器的基本功能外的如HTTP等进行丢弃,这样就能达到发明中提到的:被隔离的虚拟接入点下的客户端不能通过IE等浏览器访问路由器的Web管理界面功能。
Claims (4)
1.一种无线虚拟接入点间隔离的实现方法,其特征在于:无线路由器对各虚拟无线虚拟接入点的无线客户端间的用户数据包进行丢弃,只对各虚拟无线虚拟接入点的无线客户端和路由器本身来往的数据包放行;并将各虚拟无线虚拟接入点下的无线客户端和路由器本身来往的数据包中的本地路由转发数据包马上放行,而对其中的不需要转发的数据包进行过滤处理。
2.根据权利要求1所述的一种无线虚拟接入点间隔离的实现方法,其特征在于:包括如下步骤:
步骤A、无线路由器接收由无线客户端发来的上行数据包;
步骤B、将所述的上行数据包的无线MAC层的目的MAC地址与所述的无线路由器LAN口的MAC地址相比较,如果不相同,则将该上行数据包丢弃,结束,否则,转向步骤C;
步骤C、无线路由器判断所述的上行数据包是否是需要转发的,如果是,则转发上行数据包;否则,转向步骤D;
步骤D、无线路由器判断所述的上行数据包的封包协议类型,如果是基本协议类型,则将所述的上行数据包发往上层应用,否则,将所述的上行数据包丢弃,结束。
3.根据权利要求2所述的无线虚拟接入点间隔离的实现方法,其特征在于:所述的步骤B中:上行数据包的无线MAC层的目的MAC地址与所述的无线路由器LAN口的MAC地址不相同时,无线路由器向该无线客户端发送该上行数据包丢弃的信息提示。
4.根据权利要求2所述的无线虚拟接入点间隔离的实现方法,其特征在于:所述的步骤D中:基本协议类型为基本无线路由器的基本功能协议包括DNS、DHCP。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012100404311A CN102547708A (zh) | 2012-02-22 | 2012-02-22 | 一种无线虚拟接入点间隔离的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012100404311A CN102547708A (zh) | 2012-02-22 | 2012-02-22 | 一种无线虚拟接入点间隔离的实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102547708A true CN102547708A (zh) | 2012-07-04 |
Family
ID=46353413
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012100404311A Pending CN102547708A (zh) | 2012-02-22 | 2012-02-22 | 一种无线虚拟接入点间隔离的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102547708A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152360A (zh) * | 2013-03-25 | 2013-06-12 | 上海斐讯数据通信技术有限公司 | 一种基于无线路由器的访客访问网络的方法 |
| CN103347266A (zh) * | 2013-07-26 | 2013-10-09 | 薛海强 | 一种网络接入方法、装置及系统 |
| CN104093164A (zh) * | 2014-07-17 | 2014-10-08 | 杭州古北电子科技有限公司 | 无线网接入的控制方法及其系统 |
| CN104837219A (zh) * | 2015-05-15 | 2015-08-12 | 中山市默拜尔网络科技有限公司 | 无线接入点ap |
| CN107294983A (zh) * | 2017-06-30 | 2017-10-24 | 北京小米移动软件有限公司 | 网络连接方法、装置、用户设备及终端 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1561042A (zh) * | 2004-02-17 | 2005-01-05 | 中兴通讯股份有限公司 | 一种无线局域网接入点设备管理移动终端的方法 |
| CN1190924C (zh) * | 2002-12-03 | 2005-02-23 | 北京朗通环球科技有限公司 | 一种对无线局域网内用户进行隔离的方法 |
| WO2006028640A2 (en) * | 2004-09-01 | 2006-03-16 | Interdigital Technology Corporation | Support for multiple access point switched beam antennas |
| CN101374110A (zh) * | 2008-10-22 | 2009-02-25 | 成都市华为赛门铁克科技有限公司 | 无线服务网络中报文的处理方法、系统和设备 |
-
2012
- 2012-02-22 CN CN2012100404311A patent/CN102547708A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1190924C (zh) * | 2002-12-03 | 2005-02-23 | 北京朗通环球科技有限公司 | 一种对无线局域网内用户进行隔离的方法 |
| CN1561042A (zh) * | 2004-02-17 | 2005-01-05 | 中兴通讯股份有限公司 | 一种无线局域网接入点设备管理移动终端的方法 |
| WO2006028640A2 (en) * | 2004-09-01 | 2006-03-16 | Interdigital Technology Corporation | Support for multiple access point switched beam antennas |
| CN101374110A (zh) * | 2008-10-22 | 2009-02-25 | 成都市华为赛门铁克科技有限公司 | 无线服务网络中报文的处理方法、系统和设备 |
Non-Patent Citations (1)
| Title |
|---|
| OTHMEN BRAHAM 等: "Virtual Wireless Network Urbanization", 《IEEE XPLORE DIGITAL LIBRARY》, 30 November 2011 (2011-11-30), pages 31 - 34 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152360A (zh) * | 2013-03-25 | 2013-06-12 | 上海斐讯数据通信技术有限公司 | 一种基于无线路由器的访客访问网络的方法 |
| CN103347266A (zh) * | 2013-07-26 | 2013-10-09 | 薛海强 | 一种网络接入方法、装置及系统 |
| CN104093164A (zh) * | 2014-07-17 | 2014-10-08 | 杭州古北电子科技有限公司 | 无线网接入的控制方法及其系统 |
| CN104837219A (zh) * | 2015-05-15 | 2015-08-12 | 中山市默拜尔网络科技有限公司 | 无线接入点ap |
| CN107294983A (zh) * | 2017-06-30 | 2017-10-24 | 北京小米移动软件有限公司 | 网络连接方法、装置、用户设备及终端 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100507895C (zh) | 使用ip接入网络的服务网络选择与多穴查找 | |
| CN110035564B (zh) | 通信方法和装置 | |
| JP6045648B2 (ja) | ユーザエンティティにネットワークアクセスを提供する方法及び装置 | |
| EP1523129B1 (en) | Method and apparatus for access control of a wireless terminal device in a communications network | |
| US9083705B2 (en) | Identifying NATed devices for device-specific traffic flow steering | |
| CN104080084B (zh) | 运行并行pana会话的方法以及系统 | |
| CN109152065B (zh) | 一种基于IPv6的工业无线网络多节点安全入网方法 | |
| WO2014117525A1 (zh) | 静态用户终端认证处理方法及装置 | |
| JP2010183604A (ja) | 動的ホスト構成およびネットワークアクセス認証 | |
| JP2017510099A (ja) | 多接続通信用の統合副層 | |
| WO2009115132A1 (en) | Method and apparatus for use in a communications network | |
| EP2556626A1 (en) | Establishing connectivity between a relay node and a configuration entity | |
| CN102547708A (zh) | 一种无线虚拟接入点间隔离的实现方法 | |
| CN103533666B (zh) | 分组数据网络连接建立方法及装置 | |
| WO2009052401A2 (en) | Ipsec gre tunnel in split asn-csn scenario | |
| CN106131177B (zh) | 一种报文处理方法及装置 | |
| CN102611712A (zh) | 一种数字家庭网络接入与认证方法 | |
| CN115462123A (zh) | 扩展的5g局域网与家庭网络的互通以及对5g lan连接设备的接入网络的改变 | |
| CN1192565C (zh) | 一种基于无线分组网网关的上网方法 | |
| JP6156843B2 (ja) | 無線通信方法、そのシステムおよび無線基地局 | |
| Shin et al. | IPv6 Deployment Scenarios in 802.16 Networks | |
| WO2013060190A1 (zh) | 一种路径建立方法以及漫游宽带远程接入服务器 | |
| JP2014036422A (ja) | 複数網間でのフィルタリングシステム及び方法 | |
| Talukder et al. | All-IP Networks: Introduction | |
| Vieira | of Deliverable: Access Technologies in LONG Project |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120704 |