[发明专利]一种无线访问控制器中访问控制列表实现方法和系统

说明书

技术领域

本发明涉及无线通信领域，具体涉及一种无线访问控制器中访问控制列表实现方法和系统。

背景技术

随着无线局域网在我国大规模部署和应用,满足了人们对于无线上网的需求.但是无线网络上也存在着一些不安全因素,加上运营商对用户上网流量和时长等的控制需求,因此需要无线访问控制器上实现访问控制列表来对无线上网用户进行访问控制和保护。

通用交换机上附带有访问控制列表功能，由于交换机仅作为一个交换设备并不能保证对所在无线网络中所有上网用户和访问点进行监控. 这不利于对上网用户和访问点的控制。

可见,通用交换机上实现访问控制有一定的局限性,不能完全满足移动运营商的需要,需要进行改进。

发明内容

本发明的目的是提供一种无线访问控制器中访问控制列表实现方法和系统,以满足目前对无线上网用户和访问点进行控制和保护的需求。

本发明提供一种无线访问控制器中访问控制列表实现方法，包括步骤：截获用户上网的数据，并对所述数据进行解析；配置访问控制规则；根据解析结果、数据目的地和所配置的访问控制规则将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。

本发明的一种无线访问控制器中访问控制列表实现方法，还包括以下步骤：将所述数据加工成以太网帧的格式。

本发明的一种无线访问控制器中访问控制列表实现方法，进一步包括以下步骤：将所述以太网帧按照以太网类型、MAC地址、IP地址、协议类型和端口号进行解析。

本发明的一种无线访问控制器中访问控制列表实现方法，进一步包括以下步骤：使用访问配置装置配置访问控制规则，并将访问控制规则以规则列表的形式传送给存储装置。

本发明还提供一种实现无线访问控制器中访问控制列表的系统，包括用于截获用户上网的数据捕获单元、用于解析数据的数据解析单元、用于配置访问控制规则的访问配置单元，以及用于对所述数据根据解析结果、数据目的地和所配置的访问控制规则进行处理的访问控制单元；其中，所述数据捕获单元、数据解析单元、数据处理单元和访问控制单元依次连接；所述数据捕获单元将捕获的数据发送给所述数据解析单元；所述数据解析单元将数据解析后发送给所述数据处理单元；所述数据处理单元根据所述访问控制规则调用所述访问控制单元的接口。

本发明的一种实现无线访问控制器中访问控制列表的系统，还包括存储单元，其中，所述存储单元分别与所述访问配置单元和所述数据处理单元连接，所述访问配置单元将所述访问控制规则所形成的规则列表发送给所述访问存储单元，所述数据处理单元访问所述存储单元中的规则列表。

本发明的一种实现无线访问控制器中访问控制列表的系统，所述数据被加工成以太网帧的格式。

本发明的一种实现无线访问控制器中访问控制列表的系统，所述以太网帧被解析成以太网类型、MAC地址、IP地址、协议类型和端口号。

本发明的一种实现无线访问控制器中访问控制列表的系统，所述解析单元的工作流程包括下列步骤: 10：数据解析单元接收数据捕获单元发送的以太网帧；11：解析单元从太网帧头解析出以太网类型、源MAC和目的MAC地址；12：解析单元从IP头解析出IP地址、上层协议类型；13：判断协议类型，如果是TCP或UDP类型则转到步骤14；否则转到步骤15；14：解析出应用层端口号，如果是则转到15；15:将解析结果发送给数据处理单元。

本发明的一种实现无线访问控制器中访问控制列表的系统，所述数据处理单元的工作流程包括以下步骤：16:数据处理单元接收数据解析单元的解析结果；17:查询以太网类型访问控制列表；18:匹配到则转到27；否则，转到19；19:查询MAC地址访问控制列表；20:匹配到则转到27；否则，转到21；21:查询IP地址访问控制列表；22:匹配到则转到27；否则，转到23；23:查询协议类型访问控制列表；24:匹配到则转到27；否则，转到25；25:查询端口号访问控制列表；26:匹配到则转到27；否则，转到27；27:将处理结果发送给访问控制模块。

本发明的一种实现无线访问控制器中访问控制列表的系统，所述访问控制单元处理所述数据的方式包括将所述数据丢弃、传送给无线控制器上层应用处理、或进行转发。

本发明的技术效果在于，通过在无线控制器中用户上网数据进行控制,通过事先配置好的访问控制列表规则来匹配用户上网数据报文中字段信息的方法来对用户和访问点实现访问控制，能够对无线访问控制器管理的所有上网用户和访问点进行监控和防护，同现有技术相比更切合实际应用场景，更安全高效和快捷实用。