[发明专利]一种无线虚拟接入点间隔离的实现方法

说明书

技术领域

 本发明涉及无线路由器等网络终端产品，具体涉及无线虚拟接入点间的无线客户端隔离的实现方法，使无线路由器能对各无线虚拟接入点的无线客户端隔离且对各无线虚拟接入点下的接入权限进行有效控制。

背景技术

SSID是Service Set Identifier的缩写，意思是：服务集标识。多SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络。无线网卡设置了不同的SSID就可以进入不同网络，SSID通常由AP广播出来，通过XP自带的扫描功能可以查看当前区域内的SSID。SSID就是一个局域网的名称，只有设置为名称相同SSID的值的电脑才能互相通信。

随着互联网技术的发展，无线路由器的功能越来越强大。为了满足用户的需求，无线路由器大多有实现多SSID功能。多SSID功能实际上是指用一台物理的无线接入点(access point ：AP)虚拟出多个虚拟无线接入点（Virtual access point ：VAP），而每个VAP在用户侧看到的就相当于一个物理的接入点，有它自己的SSID。所以本发明中提到的VAP和SSID是等价的概念。多SSID功能在不增加用户成本的同时增加了无线路由器的价值，用户可以连入不同的虚拟接入点VAP。目前，无线路由器中的多SSID功能都能实现无线客户端之间相互访问，这样在方便使用的同时可能带来安全的隐患，但是目前还没有一种隔离SSID间无线客户端之间也就是虚拟接入点VAP的无线客户端之间相互访问的方法。

发明内容

本发明的目的是公开一种无线虚拟接入点间隔离的实现方法。对各VAP间加以隔离和对VAP的权限加以控制，多SSID功能就会有更多的使用场景和更好的用户体验。用户可以把权限受限的VAP开放给其他用户使用，而不用担心他们对路由器的安全产生太大的影响。

本发明的技术方案是：一种无线虚拟接入点间隔离的实现方法，无线路由器对各虚拟无线虚拟接入点的无线客户端间的用户数据包进行丢弃，只对各虚拟无线虚拟接入点的无线客户端和路由器本身来往的数据包放行；并将各虚拟无线虚拟接入点下的无线客户端和路由器本身来往的数据包中的本地路由转发数据包马上放行，而对其中的不需要转发的数据包进行后续处理。

进一步的，上述的无线虚拟接入点间隔离的实现方法中：包括如下步骤：

步骤A、无线路由器接收由无线客户端发来的上行数据包；

步骤B、将所述的上行数据包的无线MAC层的目的MAC地址与所述的无线路由器LAN口的MAC地址相比较，如果不相同，则将该上行数据包丢弃，结束，否则，转向步骤C；

步骤C、无线路由器判断所述的上行数据包是否是需要转发的，如果是，则转发上行数据包；否则，转向步骤D；

步骤D、无线路由器判断所述的上行数据包的封包协议类型，如果是基本协议类型，则将所述的上行数据包发往上层应用，否则，将所述的上行数据包丢弃，结束。

进一步的，上述的无线虚拟接入点间隔离的实现方法中：所述的步骤B中：上行数据包的无线MAC层的目的MAC地址与所述的无线路由器LAN口的MAC地址不相同时，无线路由器向该无线客户端发送该上行数据包丢弃的信息提示。

本发明隔离功能启用时，此SSID的用户仅能直接访问因特网及同个SSID网络中的其他客户端。此SSID的所有客户端不能访问路由器的Web管理界面、其他SSID的客户端、以太网络及无线路由器的其他服务。隔离功能禁用时，所有连接到此SSID的用户不仅能访问因特网，还可以像连接首选SSID的用户一样访问此无线路由器的局域网。

通过提供以上的方法，本发明具有以下优点：

1、简单、高效，没有额外的软硬件特殊需求，只需要在原有的软件基础稍加修改就能实现，对路由器原有性能没有影响；

2、扩大了无线路由器的使用场景，用户可以连入不同的VAP，避免相互之间的干扰，但实际上所有的用户还是连入了同一个无线路由器。该方法还能对每个VAP进行对路由器访问的权限限制；

3、可以在市场上通用的无线路由器芯片方案上实施，该方法不依赖具体的软硬件，所以在通用的无线路由器芯片方案上（atheros、broadcom和realtek等）都能实现。

下面结合具体实施例对本发明作较为详细的描述。

附图说明

图1为本发明上行数据流程。

具体实施方式