本发明涉及存储
技术领域:
:,尤其涉及一种用户vlan实现装置、系统及方法,以及一种无线接入点。
背景技术:
::802.1x协议是基于client/server(客户端/服务器)的访问控制和认证协议,用于限制未经授权的用户/设备通过接入端口(accessport)访问lan/wlan。在获得交换机或lan提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许eapol(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。基于此,在很多公司基于该协议控制不同部门员工对不同资源的访问权限。具体,在进行无线上网认证时,radius服务器(认证服务器)根据用户的802.1x用户名查询用户所在组织的vlan(virtuallocalareanetwork,虚拟局域网)信息,并将组织的vlan信息通过radiusaccess-accept报文返回给无线ap(acesspoint,接入点)。无线ap收到radiusaccess-accept报文后,解析出vlan信息,并将用户设置为此vlan。在openwrt(嵌入式的linux发行版)系统中,由hostapd进程负责终端设备的802.1x认证。理论上来说,该进程在收到radiusaccess-accept报文并解析出vlan信息后,根据配置文件创建vlan对应的虚拟接口,然后将终端设备绑定到vlan虚拟接口中,即可实现用户的vlan。但是,在现有方案中,驱动代码并不能实现根据vlan虚拟接口创建的api(applicationprogramminginterface,应用程序编程接口),自然不能采用上述方案实现用户的vlan。技术实现要素:本发明的目的是提供一种无线接入认证装置及一种用户vlan实现装置、系统及方法,以及一种无线接入点,有效解决了现有技术中不能将终端设备绑定到vlan虚拟接口中的技术问题。本发明提供的技术方案如下:一种用户vlan实现装置,包括:处理器,用于处理各指令;及存储器,用于存储多条指令,所述指令适用于处理器加载并执行;所述多条指令中包括对接收的数据包进行处理的步骤:接收终端设备发送的数据包;判断所述数据包是否与预设的数据包匹配规则匹配;若是,对所述数据包进行标记;根据所述标记将vlan信息添加入所述数据包,实现用户vlan。在本技术方案中,接收到终端设备发送的数据包之后,若判断出其与预设的数据包匹配规则匹配,则根据标记将vlan信息添加入该数据包,以此实现用户vlan,有效解决现有技术中不能将终端设备绑定到vlan虚拟接口中的技术问题,简单方便。进一步优选地,所述多条指令中还包括配置预设的数据包匹配规则的步骤:判断是否与终端设备连接;若是,接收终端设备发送的用户信息并通过认证服务器进行认证,所述用户信息中包括终端设备标识;接收认证服务器下发的vlan信息;设置预设的数据包匹配规则;将该数据包匹配规则与终端设备标识关联存储。在本技术方案中,在根据预设的数据包匹配规则对终端设备发送的数据包进行匹配之前,首先对该数据包匹配规则进行配置,在该过程中,首先使用认证服务器对用户信息进行验证,在验证成功之后,将认证服务器内部存储的vlan信息进行下发。进一步优选地,在指令判断是否与终端设备连接之前还包括,接收云控制器(cloud-controller,以下简称云ac)下发认证服务器配置信息的步骤;在指令接收终端设备发送的用户信息并通过认证服务器进行认证中:接收终端设备发送的用户信息之后,根据认证服务器配置信息将用户信息转发至认证服务器进行认证;和/或,在指令接收认证服务器下发的vlan信息之后还包括,将vlan信息上报至云ac的步骤。进一步优选地,所述多条指令中还包括删除预设的数据包匹配规则的步骤:判断是否与终端设备断开连接;若是,删除与该终端设备关联的数据包匹配规则。在本技术方案中,终端设备断开连接之后,将数据包匹配规则删除,便于终端设备的后续连接。本发明还提供了一种无线ap,其特征在于,包括上述用户vlan实现装置。本发明还提供了一种用户vlan实现系统,包括上述无线ap,还包括认证服务器和云ac,其中,认证服务器和云ac分别与无线ap通信连接;所述云ac,用于将认证服务器配置信息下发至无线ap;所述认证服务器,用于接收无线ap转发的用户信息并进行认证,及用于将vlan信息下发至无线ap;所述无线ap,用于接收用户通过终端设备发送的用户信息并将其转发至认证服务器,用于接收认证服务器下发的vlan信息,及用于根据vlan信息预设数据包匹配规则。在本技术方案中,通过无线ap对该数据包匹配规则进行配置,在该过程中,首先使用认证服务器对用户信息进行验证,在验证成功之后,将认证服务器内部存储的vlan信息下发至无线ap,以此无线ap根据该vlan信息配置数据包匹配规则。进一步优选地,所述无线ap还用于接收终端设备发送的数据包,将数据包与预设的数据包匹配规则进行匹配,对所述数据包进行标记,以及根据所述标记将vlan信息添加入所述数据包;和/或,所述无线ap还用于判断终端设备断开连接之后,删除与该终端设备关联的数据包匹配规则。在本技术方案中,无线ap接收到终端设备发送的数据包之后,若判断出其与预设的数据包匹配规则匹配,则根据标记将vlan信息添加入该数据包,以此实现用户vlan,有效解决现有技术中不能将终端设备绑定到vlan虚拟接口中的技术问题,简单方便。本发明还提供了一种用户vlan实现方法,包括:接收终端设备发送的数据包;判断所述数据包是否与预设的数据包匹配规则匹配;若是,对所述数据包进行标记;根据所述标记将vlan信息添加入所述数据包,实现用户vlan。在本技术方案中,接收到终端设备发送的数据包之后,若判断出其与预设的数据包匹配规则匹配,则根据标记将vlan信息添加入该数据包,以此实现用户vlan,有效解决现有技术中不能将终端设备绑定到vlan虚拟接口中的技术问题,简单方便。进一步优选地,所述接收终端设备发送的数据包之前,还包括:判断是否与终端设备连接;若是,接收终端设备发送的用户信息并通过认证服务器进行认证,所述用户信息中包括终端设备标识;接收认证服务器下发的vlan信息;设置预设的数据包匹配规则;将该数据包匹配规则与终端设备标识关联存储。在本技术方案中,在根据预设的数据包匹配规则对终端设备发送的数据包进行匹配之前,首先对该数据包匹配规则进行配置,在该过程中,首先使用认证服务器对用户信息进行验证,在验证成功之后,将认证服务器内部存储的vlan信息进行下发。进一步优选地,所述将该数据包匹配规则与终端设备标识关联存储之后,还包括:判断是否与终端设备断开连接;若是,删除与该终端设备关联的数据包匹配规则。在本技术方案中,终端设备断开连接之后,将数据包匹配规则删除,便于终端设备的后续连接。附图说明下面将以明确易懂的方式,结合附图说明优选实施方式,对倒置定量气雾剂阀门的上述特性、技术特征、优点及其实现方式予以进一步说明。图1为本发明中对接收的数据包进行处理的流程示意图;图2为本发明中配置预设的数据包匹配规则的流程示意图;图3为本发明中视频码率实时调整系统统结构示意图;图4为本发明中用户vlan实现系统示意图。附图标号说明:100-无线ap,200-认证服务器,300-云ac。具体实施方式为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。为使图面简洁,各图中的只示意性地表示出了与本发明相关的部分,它们并不代表其作为产品的实际结构。本发明提供了一种用户vlan实现装置,包括:处理器,用于处理指令;存储器,用于存储多条指令,该多条指令适用于处理器加载并执行。具体,如图1所示,在存储器中存储的指令中包括对接收的数据包进行处理的步骤:s11接收终端设备(如智能手机、平板电脑等)发送的数据包;s12判断数据包是否与预设的数据包匹配规则匹配;若是,跳转至步骤s13;s13对数据包进行标记;s14根据标记将vlan信息添加入数据包,实现用户vlan。在本实施方式中,该用户vlan实现装置应用于无线ap,且该无线ap采用openwrt系统。在工作过程中,无线ap接收到终端设备发送的数据包之后,随即进行数据包匹配规则的匹配,若匹配成功,则对其进行标记;以此vlan模块在检测到该标记后,将vlan信息添加入该数据包,实现用户vlan。具体,这里的数据包为终端设备与无线ap连接之后,发送的任意数据请求;另外,在用户vlan实现装置的存储器中还存储有与终端设备id关联的vlan信息,及预先设置的数据包匹配规则。在一实例中,上述预先设置的数据包匹配规则为ebtables规则,具体内容包括:“ebtables-aprerouting-saa:bb:cc:dd:ee:ff-jmark--mark-orvid<<16”,其中,“aa:bb:cc:dd:ee:ff”为终端设备的mac(mediaaccesscontrol,媒体访问控制)地址,“vid”为用户vlan。基于此,当接收到终端设备发送的数据包,且该数据包进入linux内核协议栈之后,linux内核在bridgefilter表prerouting链对该数据包进行ebtables规则匹配,若匹配,则该数据包进行“mark-or”操作,即linux内核中的“bridgenetfilter模块(标准模块)”对数据包进行ebtables规则匹配,并在匹配时对数据包进行“mark”操作(进行标记)。之后,linux内核在bridge的“should_deliever”函数处调用“wlan_vlan_deliver”函数(私有函数),该函数根据数据包的出入接口类型、出入接口vlan、skb->mark等将数据包的vlan保存到skb->cb[42]处。接着,linux内核在bridge的“br_dev_queue_push_xmit”函数处调用“wlan_vlan_adjust”函数(私有函数),其根据skb->cb[42]域的值为数据包打上vlan,即linux内核中的“vlan模块(私有模块)”根据数据包的出入接口类型属性、出入接口vlan属性、数据包的mark属性等对数据包执行添加vlan的操作。此外,该vlan模块还会根据接口类型属性、出入接口vlan属性、数据包的mark属性等对数据包进行转发、丢弃等操作。具体操作由数据包的mark属性决定,若数据包中的标记为添加vlan信息,则vlan模块对其进行添加vlan操作;相反,若数据包中的标记为去vlan信息,则vlan模块对其进行去vlan操作,根据配置信息而定。对上述实施方式进行改进得到本实施方式,如图2所述,在该多条指令中还包括配置预设的数据包匹配规则的步骤:s21判断是否与终端设备连接;若是,跳转至步骤s22;s22接收终端设备发送的用户信息并通过认证服务器进行认证,用户信息中包括终端设备标识;s23接收认证服务器下发的vlan信息;s24设置预设的数据包匹配规则;s25将该数据包匹配规则与终端设备标识关联存储。在本实施方式中,在云ac中存储认证服务器的配置信息,认证服务器中存储有用户信息和关联的vlan信息。基于此,当无线ap上线后,云ac将认证服务器配置信息下发至无线ap,无线ap接收到该配置信息进行存储。之后,判断终端设备是否上线(终端设备是否与无线ap连接),若是,则对终端设备进行802.1x认证,通过终端设备(根据认证服务器的配置信息)将用户信息(包括用户名和密码)发送至认证服务器。在认证服务器中,若该用户信息认证成功,则将关联的vlan信息下发至无线ap,无线ap接收到该vlan信息之后,随即配置数据包匹配规则,并将其与终端设备标识关联存储。此外,在无线ap接收到用户的vlan信息之后,将vlan信息上报至云ac中存储,以此在无线ap和云ac中都存储有该用户的vlan信息,便于后续用户的查询。在一实例中,无线ap启动后,云ac下发radius服务器的配置信息至该无线ap并进行存储。终端设备上线时,无线ap开始对其进行802.1x认证,在用户身份认证成功之后,radius服务器将该用户的vlan信息通过radiusaccess-accept报文下发至无线ap。无线ap的hostapd进程对radiusaccess-accept报文进行解析,得到用户的vlan信息。之后,hostapd进程将该vlan信息通过ubus消息发送至用户管理进程usermgmt及云ac交互进程cloudapc。usermgmt进程收到ubus消息后,设置相应的ebtables规则;cloudapc进程收到ubus消息后,将用户802.1x认证相关信息(包括vlan信息)上报至云ac,通知云ac用户认证成功,完成ebtables规则的配置。此外,在配置过程中,根据radius属性“tunnel-type(value13=vlan)”、“tunnel-medium-type(value6=ieee802)”、“tunnel-private-group-id(valuevlanidasastring)”设置802.1xradiusvlan信息。对上述实施方式进行改进得到本实施方式,在本实施方式中,存储器中存储的指令除了包括对接收的数据包进行处理的步骤及配置预设的数据包匹配规则的步骤之外,如图3所示,还包括删除预设的数据包匹配规则的步骤:s31判断是否与终端设备断开连接;若是,跳转至步骤s32;s32删除与该终端设备关联的数据包匹配规则。在本实施方式中,若判断出终端设备断开了与无线ap的连接之后,随即将设定的数据包匹配规则删除,便于终端设备的后续连接。在一实例中,在终端设备上线时配置好了ebtables规则之后,若判断出终端设备下线,则无线ap中的usermgmt进程随即删除终端设备对应得ebtables规则。如图4所示为本发明提供的用户vlan实现系统的示意图,在该用户vlan实现系统中包括:无线ap100、认证服务器200以及云ac300,其中,认证服务器200和云ac300分别与无线ap100通信连接,无线ap100中包括上述用户vlan实现装置,在云ac300中存储认证服务器200的配置信息,认证服务器200中存储有用户信息和关联的vlan信息。在配置过程中,当无线ap100上线后,云ac300将认证服务器200配置信息下发至无线ap100,无线ap100接收到该配置信息进行存储。之后,判断终端设备是否上线(终端设备是否与无线ap100连接),若是,则对终端设备进行802.1x认证,通过终端设备(根据认证服务器200的配置信息)将用户信息(包括用户名和密码)发送至认证服务器200。在认证服务器200中,若该用户信息认证成功,则将关联的vlan信息下发至无线ap100,无线ap100接收到该vlan信息之后,随即配置数据包匹配规则,并将其与终端设备标识关联存储。此外,在无线ap100接收到用户的vlan信息之后,将vlan信息上报至云ac300中存储,以此在无线ap100和云ac300中都存储有该用户的vlan信息,便于后续用户的查询。在数据包处理过程中,无线ap100接收到终端设备发送的数据包之后,随即进行数据包匹配规则的匹配,若匹配成功,则对其进行标记;以此无线ap100内置的vlan模块在检测到该标记后,将vlan信息添加入该数据包,实现用户vlan。本发明还提供了一种用户vlan实现方法,应用于无线ap,且该无线ap分别与认证服务器和云ac通信连接。如图1所示为该用户vlan实现方法的一种实施方式流程示意图,从图中可以看出,在该用户vlan实现方法中包括:s11接收终端设备发送的数据包;s12判断数据包是否与预设的数据包匹配规则匹配;若是,跳转至步骤s13;s13对数据包进行标记;s14根据标记将vlan信息添加入数据包,实现用户vlan。在本实施方式中,无线ap接收到终端设备发送的数据包之后,随即进行数据包匹配规则的匹配,若匹配成功,则对其进行标记;以此vlan模块在检测到该标记后,将vlan信息添加入该数据包,实现用户vlan。对上述实施方式进行改进得到本实施方式,如图2所示,在接收终端设备发送的数据包之前,还包括:s21判断是否与终端设备连接;若是,跳转至步骤s22;s22接收终端设备发送的用户信息并通过认证服务器进行认证,用户信息中包括终端设备标识;s23接收认证服务器下发的vlan信息;s24设置预设的数据包匹配规则;s25将该数据包匹配规则与终端设备标识关联存储。在本实施方式中,在云ac中存储认证服务器的配置信息,认证服务器中存储有用户信息和关联的vlan信息。基于此,当无线ap上线后,云ac将认证服务器配置信息下发至无线ap,无线ap接收到该配置信息进行存储。之后,判断终端设备是否上线(终端设备是否与无线ap连接),若是,则对终端设备进行802.1x认证,通过终端设备(根据认证服务器的配置信息)将用户信息(包括用户名和密码)发送至认证服务器。在认证服务器中,若该用户信息认证成功,则将关联的vlan信息下发至无线ap,无线ap接收到该vlan信息之后,随即配置数据包匹配规则,并将其与终端设备标识关联存储。此外,在无线ap接收到用户的vlan信息之后,将vlan信息上报至云ac中存储,以此在无线ap和云ac中都存储有该用户的vlan信息,便于后续用户的查询。此外,在将该数据包匹配规则与终端设备标识关联存储之后,还包括:s31判断是否与终端设备断开连接;若是,跳转到步骤s32;s32删除与该终端设备关联的数据包匹配规则。在本实施方式中,若判断出终端设备断开了与无线ap的连接之后,随即将设定的数据包匹配规则删除,便于终端设备的后续连接。应当说明的是,上述实施例均可根据需要自由组合。以上所述仅是本发明的优选实施方式,应当指出,对于本
技术领域:
:的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。当前第1页12当前第1页12