CN113612697A - 报文转发控制方法、装置、网络设备及无线网络系统 - Google Patents

Abstract

本申请提供一种报文转发控制方法、装置、网络设备及无线网络系统。方法包括：获取接入AP的用户终端所在局域网络的网关信息；将预设转发规则、网关信息发送至AP，以使AP根据网关信息、预设转发规则对接收的报文进行过滤，其中，被过滤的报文包括：不满足预设转发规则的报文或源MAC地址不是网关信息中的MAC地址的报文。如此，可以在同一二层网络中对用户终端之间的相应报文进行过滤，能够在不需要增加额外网络整改的情况下，实现二层隔离，有利于系统的运维，降低成本。

Description

报文转发控制方法、装置、网络设备及无线网络系统

技术领域

本申请涉及数据通信领域，具体而言，涉及一种报文转发控制方法、装置、网络设备及无线网络系统。

背景技术

在无线网络系统中，AC(Access Controller，接入控制器)可以通过网关、交换机与AP(Access Point，无线接入点)连接，一个AC可以与多个AP通信连接。在同一个AC下，用户终端之间进行数据转发时，需要进行数据的二层隔离。即，处在同一二层网络中用户终端之间不能互访。目前，在进行二层隔离时，需要部署中间网络才能实现用户终端收/发数据的二层隔离。在部署中间网络时，涉及从接入设备(例如AP)到核心设备(例如AC)的全网改动，使得部署复杂，且不便于维护。

发明内容

本申请实施例的目的在于提供一种报文转发控制方法、装置、网络设备及无线网络系统，能够改善在进行数据二层隔离时因部署中间网络使得部署复杂不便于维护的问题。

为了实现上述目的，本申请的实施例通过如下方式实现：

第一方面，本申请实施例提供一种报文转发控制方法，应用于无线网络系统中的AC，所述无线网络系统还包括接入所述AC的至少AP，所述方法包括：

获取接入所述AP的用户终端所在局域网络的网关信息；

将预设转发规则、所述网关信息发送至所述AP，以使所述AP根据所述网关信息、所述预设转发规则对接收的报文进行过滤，其中，被过滤的报文包括：不满足所述预设转发规则的报文或源MAC地址不是所述网关信息中的MAC地址的报文。

在上述的实施方式中，AC可以获取到用户终端所在局域网络的网关信息，如此，以使AP对不满足预设转发规则的报文，或源MAC地址不是网关信息中的MAC地址的报文进行过滤。由于在同一个二层网络中，用户终端之间的转发报文的MAC地址与网关信息中的MAC地址不同，因此，可以在二层网络中对用户终端之间的相应报文进行过滤，能够在不需要增加额外网络整改的情况下，实现二层隔离，有利于系统的运维，降低成本。

结合第一方面，在一些可选的实施方式中，获取接入所述AP的用户终端所在局域网络的网关信息，具体包括：

接收所述AP发送的所述用户终端的IP地址，所述IP地址由所述AP在所述用户终端接入所述AP时获取得到；

基于所述IP地址，通过与所述用户终端不同网段的IP地址，向所述用户终端发送指定报文；

接收所述AP基于所述指定报文发送的所述用户终端所在局域网络的网关信息。

在上述的实施方式中，由AC通过与用户终端不同网段的IP地址，向用户终端发送指定报文，如此，该指定报文在传输过程中，可以被封装上用户终端的所在局域网的网关信息，AP在接收到指定报文后，便可以从指定报文中获取到该网关信息，然后上报至AC，如此，AC可以获取到该网关信息。

结合第一方面，在一些可选的实施方式中，所述获取接入所述AP的用户终端所在局域网络的网关信息，具体包括：

接收所述AP发送的所述用户终端所在局域网络的网关信息，所述网关信息由所述AP通过动态主机配置协议获取得到。

在上述的实施方式中，AP可以通过动态主机配置协议，获取得到用户终端所在局域网络的网关信息，然后将该网关信息上报至AC，如此，可以使得AC获取到该网关信息。

结合第一方面，在一些可选的实施方式中，所述预设转发规则包括所述AP准许通过的报文的指定类型、准许通过的报文所对应的指定用户终端的MAC地址中的至少一种。

第二方面，本申请还提供一种报文转发控制方法，应用于无线网络系统中的AP，所述无线网络系统还包括供所述AP接入的AC，所述方法包括：

接收所述AC发送的预设转发规则、网关信息，所述网关信息为所述AC获取接入所述AP的用户终端所在局域网络的网关信息；

根据所述网关信息、所述预设转发规则，对接收的报文进行过滤，其中，被过滤的报文包括：不满足所述预设转发规则的报文或源MAC地址不是所述网关信息中的MAC地址的报文。

结合第二方面，在一些可选的实施方式中，根据所述网关信息、所述预设转发规则，对接收的报文进行过滤，包括：

当接收的报文不满足所述预设转发规则，且所述报文的源MAC地址不是所述网关信息中的MAC地址时，过滤所述报文。

结合第二方面，在一些可选的实施方式中，所述方法还包括：

当接收的所述报文满足所述预设转发规则，或所述报文的源MAC地址为所述网关信息中的MAC地址时，基于所述报文携带的转发地址转发所述报文。

结合第二方面，在一些可选的实施方式中，所述预设转发规则包括所述AP准许通过的报文的指定类型、准许通过的报文所对应的指定用户终端的MAC地址中的至少一种。

第三方面，本申请还提供一种报文转发控制装置，应用于无线网络系统中的AC，所述无线网络系统还包括接入所述AC的AP，所述装置包括：

获取单元，用于获取接入所述AP的用户终端所在局域网络的网关信息；

发送单元，用于将预设转发规则、所述网关信息发送至AP，以使所述AP根据所述网关信息、所述预设转发规则对接收的报文进行过滤，其中，被过滤的报文包括：不满足所述预设转发规则的报文或源MAC地址不是所述网关信息中的MAC地址的报文。

第四方面，本申请还提供一种报文转发控制装置，应用于无线网络系统中的AP，所述无线网络系统还包括用于供所述AP接入的AC，所述装置包括：

接收单元，用于接收AC发送的预设转发规则、网关信息，所述网关信息为所述AC获取接入所述AP的用户终端所在局域网络的网关信息；

报文过滤单元，用于根据所述网关信息、所述预设转发规则，对接收的报文进行过滤，其中，被过滤的报文包括：不满足所述预设转发规则的报文或源MAC地址不是所述网关信息中的MAC地址的报文。

第五方面，本申请还提供一种网络设备，所述网络设备包括相互连接的处理器及存储器，所述存储器内存储计算机程序，当所述计算机程序被所述处理器执行时，使得所述网络设备执行上述的方法。

第六方面，本申请还提供一种无线网络系统，包括AC及接入所述AC的AP；

所述AC用于获取接入所述AP的用户终端所在局域网络的网关信息；

所述AC还用于将预设转发规则、所述网关信息发送至AP；

所述AP用于接收AC发送的所述预设转发规则、所述网关信息；

所述AP还用于根据所述网关信息、所述预设转发规则，对接收的报文进行过滤，其中，被过滤的报文包括：不满足所述预设转发规则的报文或源MAC地址不是所述网关信息中的MAC地址的报文。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的无线网络系统的通信连接示意图。

图2为本申请实施例提供的报文转发控制方法的流程示意图。

图3为本申请实施例提供的报文转发控制装置的框图之一。

图4为本申请实施例提供的报文转发控制装置的框图之二。

图标：10-无线网络系统；20-接入控制器；30-网关设备；41-第一交换机；42-第二交换机；51-第一无线接入点；52-第二无线接入点；61-第一无线终端；62-第二无线终端；63-有线终端；200-报文转发控制装置；210-获取单元；220-发送单元；300-报文转发控制装置；310-接收单元；320-报文过滤单元。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。需要说明的是，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

申请人发现，在无线网络系统中进行二层隔离时，需要部署中间网络才能实现用户终端收/发数据的二层隔离。在部署中间网络时，中间网络不一定有支持数据隔离的功能，中间网络的隔离只有端口隔离不能基于虚拟局域网(Virtual Local Area Network，VLAN)进行隔离，另外，在部署期间，涉及从接入设备到核心设备的全网改动，使得部署复杂，且不便于维护。

鉴于上述问题，本申请申请人提出以下实施例以解决上述问题。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。

本申请提供一种无线网络系统，包括接入器(Access Controller，AC)、无线接入点(Access Point,AP)。其中，接入控制器可以接受一个或多个无线接入点的注册，以便于与已注册的无线接入点进行通信连接，对无线接入点进行管理控制。无线终端可以通过无线网络接入无线接入点，并与其建立通信连接。

示例性地，请参照图1，无线网络系统10可以包括接入控制器20、网关设备30、第一交换机41、第二交换机42、第一无线接入点51、第二无线接入点52。一个或多个无线终端可以通过无线接入点接入到无线网络中。一个或多个有限终端可以通过交换机接入到接入控制器20所在的局域网络中。

无线终端即为可以通过无线网络进行数据通信的用户终端，可以是但不限于智能手机、平板电脑等。有线终端63即为可以通过有线网络进行数据通信的用户终端，可以是但不限于个人电脑。

第一交换机41、第二交换机42作为接入交换机，可以与相应的无线接入点通信连接，以及与网关设备30通信连接。另外，第一交换机41、第二交换机42还可以与相应的有线终端通信连接。

本申请还提供一种网络设备，网络设备可以包括处理模块及存储模块。存储模块内存储计算机程序，当计算机程序被所述处理模块执行时，使得网络设备能够执行下述报文转发控制方法中的各步骤。

其中，网络设备可以是接入控制器20或无线接入点。可理解地，在无线网络系统10中，接入控制器20与无线接入点可以相互配合，以实现下述的报文转发控制方法中的各步骤。

请参照图2，本申请实施例还提供一种报文转发控制方法，可以应用于上述的无线网络系统10中，由接入控制器20和无线接入点相互配合，以实现方法中的各步骤。方法可以包括如下步骤：

步骤S110，AC获取接入AP的用户终端所在局域网络的网关信息；

步骤S120，所述AC将预设转发规则、所述网关信息发送至所述AP；

步骤S130，所述AP接收所述AC发送的所述预设转发规则、所述网关信息；

步骤S140，所述AP根据所述网关信息、所述预设转发规则，对接收的报文进行过滤，其中，被过滤的报文包括：不满足所述预设转发规则的报文或源MAC地址不是所述网关信息中的MAC地址的报文。

在上述的实施方式中，AC获取到用户终端所在局域网络的网关信息，如此，以使AP对不满足预设转发规则的报文、或源MAC地址不是网关信息中的MAC地址的报文进行过滤。由于多个AP在同一个AC的管理下，即为在同一个二层网络中，用户终端之间的转发报文的MAC地址与网关信息中的MAC地址不同，因此，可以在二层网络中对用户终端之间的相应报文进行过滤，能够在不需要增加额外网络整改的情况下，实现二层隔离，有利于系统的运维，降低成本。

下面将对方法的各步骤进行详细阐述，如下：

在步骤S110中，可以根据实际情况进行策略设定，用于供AC获取接入所述AP的用户终端所在局域网络的网关信息。另外，AC可以以预设周期获取接入所述AP的用户终端所在局域网络的网关信息，如此，有利于提高所获取的网关信息的时效性。其中，预设周期可以根据实际情况进行灵活确定，这里不作具体限定。

作为一种可选的实施方式，步骤S110可以包括：

接收所述AP发送的所述用户终端的IP(Internet Protocol，网际互连协议)地址，所述IP地址由所述AP在所述用户终端接入所述AP时获取得到；

基于所述IP地址，通过与所述用户终端不同网段的IP地址，向所述用户终端发送指定报文；

接收AP基于所述指定报文发送的所述用户终端所在局域网络的网关信息。

可理解地，在无线网络系统10中，当用户终端通过一个AP接入到无线网络中时，该AP即为接入到AC可以被AC进行管理的AP。在同一个AC下接入的各个AP、用户终端均在同一个二层网络中。

当用户终端接入AP时，AP可以从用户终端发送的报文(该报文可以封装有用户终端的地址信息)中，获取到该用户终端的地址信息，该地址信息可以包括用户终端自身的IP地址、MAC(Media Access Control，媒体接入控制)地址。

在二层网络访问与三层网络访问中，访问过程中的报文的源MAC地址存在区别，为本领域技术人员熟知。例如，在二层网络访问中，报文的源MAC地址为用户终端自身的MAC地址。在三层网络访问中，报文的源MAC地址为网关设备30的MAC地址，即为网关信息中的MAC地址。

在本实施例中，AC在接收到AP发送的用户终端的IP地址之后，可以基于该IP地址，通过与用户终端不同网段的另一IP地址，向用户终端发送指定报文。

示例性地，请再次参照图1，假设用户终端为第一无线终端61，接入控制器20在向第一无线终端61发送指定报文的过程中。该指定报文需要依次经由网关设备30、第一交换机41及第一无线接入点51。由于接入控制器20采用的另一IP地址，与第一无线终端61的IP地址的网段不同，因此，指定报文在经过网关设备30时，可以被网关设备30封装上网关设备30的网关信息，网关信息包括但不限于网关设备30自身的IP地址、MAC地址。

其中，该网关设备30的网关信息即为第一无线终端61(指用户终端)所在局域网络的网关信息。指定报文的内容可以根据实际情况进行灵活确定，指定报文用于在传输过程中，可以被网关设备30封装上网关信息，从而可以被第一无线接入点51解析得到该网关信息。然后，由第一无线接入点51将该网关信息上传至接入控制器20，以使接入控制器20可以通过发出的指定报文，获取到第一无线终端61所在局域网络的网关信息。

可理解地，指定报文在被传输至第一无线接入点51后，可以由第一无线接入点51将该指定报文转发至第一无线终端61，或者，第一无线接入点51可以无需将该指定报文转发至第一无线终端61，只要第一无线接入点51可以将该网关信息上传至接入控制器20即可，这里对指定报文的去向不作具体限定。

需要说明的是，若AC向用户终端发送报文采用的IP地址，与用户终端的IP地址的网段相同，则报文在被传输至网关设备30时，网关设备30不会对该报文封装网关信息。

示例性地，请再次参照图1，第一无线终端61、第二无线终端62及有线终端63均在同一个二层网络中，当第一无线终端61向第二无线终端62或有线终端63转发报文时，报文在到达网关设备30时，网关设备30便不会对该报文封装网关信息。

在本实施例中，AC可以基于用户终端的IP地址，以预设周期，通过与用户终端不同网段的IP地址，向用户终端发送指定报文。AP每次在接收到该指定报文后，可以从指定报文中解析得到的网关信息，然后向AC发送解析得到的网关信息。如此，当用户终端所在的局域网络的网关信息发生变更后，便可以及时实现网关信息更新，从而提高AC所获取的网关信息的时效性。

作为一种可选的实施方式，步骤S110可以包括：

接收所述AP发送的所述用户终端所在局域网络的网关信息，所述网关信息由所述AP通过动态主机配置协议(Dynamic Host Configuration Protocol，DHCP)获取得到。

可理解地，DHCP可以用于获取网关设备30的MAC地址，即，DHCP报文可以添加网关设备30的MAC地址。当用户终端接入到AP时，AP可以通过解析DHCP报文所携带的信息，从而获取到用户终端所在的局域网络的网关信息，然后，AP将该网关信息发送至AC。其中，该网关信息中包括网关设备30的MAC地址。AC在接收到AP上传的网关信息后，可以将网关信息中的MAC地址作为用户终端所在局域网络的网关MAC地址进行存储。

在本实施例中，AP可以以预设周期，通过DHCP获取接入所述AP的用户终端所在局域网络的网关信息，如此，可以提高AC获取网关信息的时效性。

在步骤S120中，AC在获取到网关信息后，可以将预设转发规则、网关信息发送至AP。

其中，预设转发规则可以根据实际情况进行灵活确定，用于根据用户的实际需求，灵活限定期望通过的报文。例如，预设转发规则包括AP准许通过的报文的指定类型、准许通过的报文所对应的指定用户终端的MAC地址中的至少一种。

在步骤S130中，AP在接收到预设转发规则、网关信息后，可以将预设转发规则、网关信息作为过滤报文的过滤条件。例如，AP可以在与交换机连接的端口上或VLAN内设置过滤条件。

比如，在AP中，在用户的VLAN内设置过滤条件，设置有过滤条件的VLAN只允许接收源MAC地址为用户终端所在网关的MAC地址的报文，或者接收指定类型的报文，或者接收指定用户终端的报文，其他报文一律丢弃。其他报文即为：报文的源MAC地址不是用户终端所在网关的MAC地址，或不是指定类型的报文，或不是指定用户终端发送的报文。如此，可以基于VLAN进行报文拦截/隔离。

在步骤S140中，AP可以对满足预设转发规则、或网关信息的报文准许通过，对不满足预设转发规则以及网关信息的报文进行拦截，从而实现同一二层网络中用户终端之间转发报文的隔离。

作为一种可选的实施方式，步骤S140可以包括：当接收的报文不满足所述预设转发规则，且所述报文的源MAC地址不是所述网关信息中的MAC地址时，过滤所述报文。

在同一二层网络中，存在部分例外情况，需要允许例外情况的报文通过AP。即，预设转发规则用于对例外情况的报文进行限定。比如，预设转发规则可以包括上述的AP准许通过的报文的指定类型、准许通过的报文所对应的指定用户终端的MAC地址。

由于在同一个二层网络中，用户终端之间转发的报文不会携带网关信息中的MAC地址，如此，便可以通过网关信息中的MAC地址，对用户终端之间的转发报文进行过滤，并且还能准许例外情况的报文通过AP。

在本实施例中，方法还可以包括：当接收的所述报文满足所述预设转发规则，或所述报文的源MAC地址为所述网关信息中的MAC地址时，基于所述报文携带的转发地址转发所述报文。

在预设转发规则中，报文的指定类型可以根据实际情况进行灵活确定。比如，指定类型可以是但不限于DHCP。即，若AP接收的报文为DHCP报文，即使该DHCP报文的源MAC地址不是网关信息的MAC地址，AP仍然可以准许该DHCP报文通过，无需进行拦截。

在预设转发规则中，指定用户终端的MAC地址可以根据实际情况进行灵活确定。例如，指定用户终端可以是但不限于管理员的经过授权的终端设备。即，若AP接收的报文的源MAC地址为该经过授权的终端设备的MAC地址，即使终端设备的MAC地址不是网关信息的MAC地址，AP仍然可以准许该报文通过，无需进行拦截。

若AP接收的报文的源MAC地址为网关信息中的MAC地址时，表示该报文不是(同一二层网络中)用户终端之间转发的报文，此时，AP可以准许该报文通过，无需进行拦截。

基于上述设计，在同一二层网络中，由AC和AP相互配合，便可以实现用户终端之间的报文隔离，从而实现二层隔离，不需要增加额外网络整改，方便运维管理，有利用降低部署及运维成本。

请参照图3，本申请实施例还提供一种报文转发控制装置200，可以应用于上述的接入控制器20中，用于执行方法中与接入控制器20对应的各步骤。报文转发控制装置200包括至少一个可以软件或固件(Firmware)的形式存储于存储模块中或固化在网络设备操作系统(Operating System，OS)中的软件功能模块。处理模块用于执行存储模块中存储的可执行模块，例如报文转发控制装置200所包括的软件功能模块及计算机程序等。

报文转发控制装置200可以包括获取单元210及发送单元220，可以执行的操作步骤如下：

获取单元210，用于获取接入所述AP的用户终端所在局域网络的网关信息；

发送单元220，用于将预设转发规则、所述网关信息发送至AP，以使所述AP根据所述网关信息、所述预设转发规则对接收的报文进行过滤，其中，被过滤的报文包括：不满足所述预设转发规则的报文或源MAC地址不是所述网关信息中的MAC地址的报文。

可选地，获取单元210可以用于：

接收所述AP发送的所述用户终端的IP地址，所述IP地址由所述AP在所述用户终端接入所述AP时获取得到；

基于所述IP地址，通过与所述用户终端不同网段的IP地址，向所述用户终端发送指定报文；

接收AP基于所述指定报文发送的所述用户终端所在局域网络的网关信息。

可选地，获取单元210还可以用于：接收所述AP发送的所述用户终端所在局域网络的网关信息，所述网关信息由所述AP通过动态主机配置协议获取得到。

请参照图4，本申请实施例还提供一种报文转发控制装置300，可以应用于上述的无线接入点中，用于执行方法中与无线接入点对应的各步骤。

报文转发控制装置300可以包括接收单元310及报文过滤单元320，可以执行的操作步骤如下：

接收单元310，用于接收AC发送的预设转发规则、网关信息，所述网关信息为所述AC获取接入所述AP的用户终端所在局域网络的网关信息；

报文过滤单元320，用于根据所述网关信息、所述预设转发规则，对接收的报文进行过滤，其中，被过滤的报文包括：不满足所述预设转发规则的报文或源MAC地址不是所述网关信息中的MAC地址的报文。

可选地，报文过滤单元320还可以用于：当接收的报文不满足所述预设转发规则，且所述报文的源MAC地址不是所述网关信息中的MAC地址时，过滤所述报文。

报文转发控制装置300还可以包括转发单元，用于当接收的所述报文满足所述预设转发规则，或所述报文的源MAC地址为所述网关信息中的MAC地址时，基于所述报文携带的转发地址转发所述报文。

在本实施例中，网络设备还可以包括其他模块，例如还可以包括通信模块。通信模块用于建立网络设备与其他设备之间的通信连接。

在网络设备中，处理模块、存储模块以及通信模块各个元件之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。

在本实施例中，处理模块可以是一种集成电路芯片，具有信号的处理能力。上述处理模块可以是通用处理器。例如，该处理器可以是中央处理器(Central Processing Unit，CPU)、数字信号处理器(Digital Signal Processing，DSP)、专用集成电路(ApplicationSpecific Integrated Circuit，ASIC)、现场可编程门阵列(Field－Programmable GateArray，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。

存储模块可以是，但不限于，随机存取存储器，只读存储器，可编程只读存储器，可擦除可编程只读存储器，电可擦除可编程只读存储器等。在本实施例中，存储模块可以用于存储预设转发规则、网关信息等。当然，存储模块还可以用于存储程序，处理模块在接收到执行指令后，执行该程序。

可以理解的是，图1所示的网络结构仅为无线网络系统10的一种结构示意图，无线网络系统10还可以包括比图1所示更多或更少的设备，这里对无线网络系统10的网络结构不作具体限定。

需要说明的是，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的网络设备的具体工作过程，可以参考前述方法中的各步骤对应过程，在此不再过多赘述。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本申请可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现，基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施场景所述的方法。

综上所述，本申请提供一种报文转发控制方法、装置、网络设备及无线网络系统。方法包括：获取接入AP的用户终端所在局域网络的网关信息；将预设转发规则、网关信息发送至AP，以使AP根据网关信息、预设转发规则对接收的报文进行过滤，其中，被过滤的报文包括：不满足预设转发规则的报文或源MAC地址不是网关信息中的MAC地址的报文。如此，可以在同一二层网络中对用户终端之间的相应报文进行过滤，能够在不需要增加额外网络整改的情况下，实现二层隔离，有利于系统的运维，降低成本。

在本申请所提供的实施例中，应该理解到，所揭露的装置、系统和方法，也可以通过其它的方式实现。以上所描述的装置、系统和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (12)

1.一种报文转发控制方法，其特征在于，应用于无线网络系统中的AC，所述无线网络系统还包括接入所述AC的至少一个AP，所述方法包括：

获取接入所述AP的用户终端所在局域网络的网关信息；

将预设转发规则、所述网关信息发送至所述AP，以使所述AP根据所述网关信息、所述预设转发规则对接收的报文进行过滤，其中，被过滤的报文包括：不满足所述预设转发规则的报文或源MAC地址不是所述网关信息中的MAC地址的报文。

2.根据权利要求1所述的方法，其特征在于，所述获取接入所述AP的用户终端所在局域网络的网关信息，具体包括：

接收所述AP发送的所述用户终端的IP地址，所述IP地址由所述AP在所述用户终端接入所述AP时获取得到；

基于所述IP地址，通过与所述用户终端不同网段的IP地址，向所述用户终端发送指定报文；

接收所述AP基于所述指定报文发送的所述用户终端所在局域网络的网关信息。

3.根据权利要求1所述的方法，其特征在于，所述获取接入所述AP的用户终端所在局域网络的网关信息，具体包括：

接收所述AP发送的所述用户终端所在局域网络的网关信息，所述网关信息由所述AP通过动态主机配置协议获取得到。

4.根据权利要求1-3中任一项所述的方法，其特征在于，所述预设转发规则包括所述AP准许通过的报文的指定类型、准许通过的报文所对应的指定用户终端的MAC地址中的至少一种。

5.一种报文转发控制方法，其特征在于，应用于无线网络系统中的AP，所述无线网络系统还包括用于供所述AP接入的AC，所述方法包括：

接收所述AC发送的预设转发规则、网关信息，所述网关信息为所述AC获取接入所述AP的用户终端所在局域网络的网关信息；

根据所述网关信息、所述预设转发规则，对接收的报文进行过滤，其中，被过滤的报文包括：不满足所述预设转发规则的报文或源MAC地址不是所述网关信息中的MAC地址的报文。

6.根据权利要求5所述的方法，其特征在于，根据所述网关信息、所述预设转发规则，对接收的报文进行过滤，包括：

当接收的报文不满足所述预设转发规则，且所述报文的源MAC地址不是所述网关信息中的MAC地址时，过滤所述报文。

7.根据权利要求5所述的方法，其特征在于，所述方法还包括：

当接收的所述报文满足所述预设转发规则，或所述报文的源MAC地址为所述网关信息中的MAC地址时，基于所述报文携带的转发地址转发所述报文。

8.根据权利要求5-7中任一项所述的方法，其特征在于，所述预设转发规则包括所述AP准许通过的报文的指定类型、准许通过的报文所对应的指定用户终端的MAC地址中的至少一种。

9.一种报文转发控制装置，其特征在于，应用于无线网络系统中的AC，所述无线网络系统还包括接入所述AC的至少一个AP，所述装置包括：

获取单元，用于获取接入所述AP的用户终端所在局域网络的网关信息；

发送单元，用于将预设转发规则、所述网关信息发送至所述AP，以使所述AP根据所述网关信息、所述预设转发规则对接收的报文进行过滤，其中，被过滤的报文包括：不满足所述预设转发规则的报文或源MAC地址不是所述网关信息中的MAC地址的报文。

10.一种报文转发控制装置，其特征在于，应用于无线网络系统中的AP，所述无线网络系统还包括用于供所述AP接入的AC，所述装置包括：

接收单元，用于接收所述AC发送的预设转发规则、网关信息，所述网关信息为所述AC获取接入所述AP的用户终端所在局域网络的网关信息；

报文过滤单元，用于根据所述网关信息、所述预设转发规则，对接收的报文进行过滤，其中，被过滤的报文包括：不满足所述预设转发规则的报文或源MAC地址不是所述网关信息中的MAC地址的报文。

11.一种网络设备，其特征在于，所述网络设备包括相互耦合的处理器及存储器，所述存储器内存储计算机程序，当所述计算机程序被所述处理器执行时，使得所述网络设备执行如权利要求1-4中任一项所述的方法或执行如权利要求5-7中任一项所述的方法。

12.一种无线网络系统，其特征在于，包括AC及接入所述AC的至少一个AP；

所述AC用于获取接入所述AP的用户终端所在局域网络的网关信息；

所述AC还用于将预设转发规则、所述网关信息发送至所述AP；

所述AP用于接收AC发送的所述预设转发规则、所述网关信息；

所述AP还用于根据所述网关信息、所述预设转发规则，对接收的报文进行过滤，其中，被过滤的报文包括：不满足所述预设转发规则的报文或源MAC地址不是所述网关信息中的MAC地址的报文。

Images