[发明专利]一种用户隔离方法及装置

说明书

本发明实施例提供了一种用户隔离方法及装置，应用于AC，所述方法包括：接收第一无线客户端向第二无线客户端发送的访问报文；当使能第一用户隔离功能且所述访问报文的源IP地址和目的IP地址均为动态IP地址时，确定所述访问报文的源IP地址和目的IP地址是否为同一地址池的IP地址；如果是，丢弃所述访问报文；如果否，将所述访问报文发送给所述第二无线客户端。应用本发明实施例，扩大了用户隔离的覆盖范围。

技术领域

本发明涉及通信技术领域，特别是涉及一种用户隔离方法及装置。

背景技术

为了提高无线客户端的安全，缓解AC(Access Controller，接入控制器)的转发压力，以及减少射频资源的消耗，可以对无线客户端进行用户隔离，例如，在同一公司的同一个办公室的无线客户端间可以进行用户隔离，禁止无线客户端间互访问。

目前，用户隔离一般为基于SSID(Service Set Identifier，服务集标识)的用户隔离，隔离同一SSID下的无线客户端。具体为，若两个无线客户端通过同一SSID接入网络，则禁止这两个无线客户端间相互访问。

上述基于SSID的用户隔离方法灵活性较好，但仅能针对同一SSID下的无线客户端进行隔离，覆盖范围小。

发明内容

本发明实施例的目的在于提供一种用户隔离方法及装置，以扩大用户隔离的覆盖范围。具体技术方案如下：

一方面，本发明实施例公开了一种用户隔离方法，应用于AC，所述方法包括：

接收第一无线客户端向第二无线客户端发送的访问报文；

当使能第一用户隔离功能且所述访问报文的源IP(Internet Protocol，网络地址)地址和目的IP地址均为动态IP地址时，确定所述访问报文的源IP地址和目的IP地址是否为同一地址池的IP地址；

如果是，丢弃所述访问报文；

如果否，将所述访问报文发送给所述第二无线客户端。

另一方面，本发明实施例公开了一种用户隔离装置，应用于AC，所述装置包括：

第一接收单元，用于接收第一无线客户端向第二无线客户端发送的访问报文；

确定单元，用于当使能第一用户隔离功能且所述访问报文的源IP地址和目的IP地址均为动态IP地址时，确定所述访问报文的源IP地址和目的IP地址是否为同一地址池的IP地址；

丢弃单元，用于在所述确定单元确定所述访问报文的源IP地址和目的IP地址为同一地址池的IP地址，丢弃所述访问报文；

发送单元，用于在所述确定单元确定所述访问报文的源IP地址和目的IP地址不为同一地址池的IP地址，将所述访问报文发送给所述第二无线客户端。

本发明实施例提供了一种用户隔离方法及装置，AC接收第一无线客户端向第二无线客户端发送的访问报文；当使能第一用户隔离功能且该访问报文的源IP地址和目的IP地址均为动态IP地址时，确定访问报文的源IP地址和目的IP地址是否为同一地址池的IP地址；如果是，则丢弃该访问报文；如果否，则将该访问报文发送给第二无线客户端。可见，本发明实施例中，无论同一SSID下的还是不同SSID下的无线客户端，只要从同一地址池中获取IP地址，就可以实现用户隔离，不再受制于单个SSID的用户隔离的限制，扩大了用户隔离的覆盖范围。当然，实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。