接入点控制方法及装置与流程

本申请涉及网络安全
技术领域：
，具体而言，涉及一种接入点控制方法及装置。
背景技术：
无线接入点(wirelessaccesspoint，简称ap)是一种可以便利地将有线的网络信号转为为无线信号的设备。在一些场景中，恶意用户将未经许可的非法的ap(rogueap)接入到网络中，可能干扰网络的正常工作或对网络的安全性造成影响。现有常见的一些恶意无线接入点防护技术，采用无线入侵防御系统(wirelessintrusionpreventionsystem，简称wips)，由接入点控制器(wirelessaccesspointcontroller，简称ac)通过无线信号检测传感器或特定的无线接入点对无线信道进行监听分析，并在检测到非法无线接入点时，通过无线信号发射器或特定的无线接入点发送干扰报文反制非法无线接入点，从而减少非法无线接入点的影响。但这种反制方式进行干扰非法无线接入点的工作，不能从根本上断绝非法无线接入点的影响，技术实现要素：一方面，本申请提供一种接入点控制方法，应用于与预先配置有无线接入点控制和配置协议capwap客户端的交换机通信连接的无线控制器，所述方法包括：检测接入交换机的无线接入点中是否存在非法无线接入点；在检测到非法无线接入点时，通过与所述非法无线接入点接入的交换机预先建立的capwap隧道向该交换机发送控制信息，控制该交换机切断所述非法无线接入点接入的有源以太网端口的电源输出，所述控制信息包括所述非法无线接入点的硬件标识。可选地，所述无线控制器与多个交换机通信连接，所述方法还包括：分别向所述多个交换机发送该无线控制器管理的各无线接入点的硬件标识；接收每个交换机根据接收到的各无线接入点的硬件标识上报的拓扑信息，所述拓扑信息包括该无线控制器管理的各无线接入点中接入该交换机的无线接入点。可选地，所述在检测到非法无线接入点时，通过与所述非法无线接入点接入的交换机预先建立的无线接入点控制和配置协议capwap隧道向该交换机发送控制信息的步骤，包括：获取该非法无线接入点的硬件标识；根据所述非法无线接入点的硬件标识在所述拓扑信息中查询该非法无线接入点接入的交换机；向在所述拓扑信息中查询到的交换机发送所述控制信息。可选地，所述方法还包括：通过所述capwap隧道向所述交换机发送供电策略配置信息，所述供电策略配置信息包括目标无线接入点的硬件标识及应用于该目标无线接入点的供电策略标识，使所述交换机根据所述供电策略标识对应的供电策略控制与所述目标无线接入点连接的有源以太网端口的电源输出。可选地，所述方法还包括：在向所述非法无线接入点接入的交换机发送所述控制信息后，控制该交换机在预设时长后恢复所述非法无线接入点接入的有源以太网端口的电源输出。另一方面，本申请还提供一种接入点控制装置，应用于与预先配置有无线接入点控制和配置协议capwap客户端的交换机通信连接的无线控制器，所述装置包括：检测模块，用于检测接入交换机的无线接入点中是否存在非法无线接入点；控制模块，用于在检测到非法无线接入点时，通过与所述非法无线接入点接入的交换机预先建立的capwap隧道向该交换机发送控制信息，控制该交换机切断所述非法无线接入点接入的有源以太网端口的电源输出，所述控制信息包括所述非法无线接入点的硬件标识。可选地，所述无线控制器与多个交换机通信连接，所述装置还包括：标识下发模块，用于分别向所述多个交换机发送该无线控制器管理的各无线接入点的硬件标识；拓扑信息获取模块，用于接收每个交换机根据接收到的各无线接入点的硬件标识上报的拓扑信息，所述拓扑信息包括该无线控制器管理的各无线接入点中接入该交换机的无线接入点。可选地，所述控制模块具体用于获取该非法无线接入点的硬件标识；根据所述非法无线接入点的硬件标识在所述拓扑信息中查询该非法无线接入点接入的交换机；向在所述拓扑信息中查询到的交换机发送所述控制信息。可选地，所述装置还包括：供电策略下发模块，用于通过所述capwap隧道向所述交换机发送供电策略配置信息，所述供电策略配置信息包括目标无线接入点的硬件标识及应用于该目标无线接入点的供电策略标识，使所述交换机根据所述供电策略标识对应的供电策略控制与所述目标无线接入点连接的有源以太网端口的电源输出。可选地，所述控制模块还用于在向所述非法无线接入点接入的交换机发送所述控制信息后，控制该交换机在预设时长后恢复所述非法无线接入点接入的有源以太网端口的电源输出。相对于现有技术而言，本申请具有以下有益效果：本申请提供的接入点控制方法及装置，通过在无线控制器与连接有无线接入点的交换机之间建立capwap隧道，无线控制器在检测到非法无线接入点时，再通过capwap隧道发送的控制信息控制非法无线接入点接入的交换机的相应poe端口的电源输出，以切断对非法无线接入点的供电，从而彻底消除非法无线接入点的影响。附图说明为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。图1为本申请实施例提供的应用场景示意图之一；图2为本申请实施例提供的接入点控制方法的流程示意图之一；图3为本申请实施例提供的应用场景示意图之二；图4为本申请实施例提供的接入点控制方法的流程示意图之二；图5为本申请实施例提供的无线控制器的硬件结构方框示意图；图6为本申请实施例提供的接入点控制装置的功能模块示意图之一；图7为本申请实施例提供的接入点控制装置的功能模块示意图之二。图标：100-无线控制器；110-接入点控制装置；111-检测模块；112-控制模块；113-下发模块；114-拓扑信息获取模块；120-机器可读存储介质；130-处理器；200-交换机；300-无线接入点；400-其他通信设备。具体实施方式为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。在本申请的描述中，需要说明的是，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。在本申请的描述中，还需要说明的是，除非另有明确的规定和限定，术语“设置”、“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本申请中的具体含义。请参照图1，图1为本实施例所提供方案的应用场景示意图。其中，本实施例中，交换机200可以为无线接入点300提供有源以太网(poweroverethernet，简称poe)接口。对于接入该交换机200的无线接入点300，交换机200在通过poe端口与无线接入点300通信连接的同时还通过poe端口为无线接入点300供电。交换机200可通过ip网络与无线控制器100通信连接。在现有的一些应用场景中，无线接入点300与无线控制器100之间建立无线接入点控制和配置协议(controlandprovisioningofwirelessaccesspointsprotocolspecification，简称capwap)隧道，使无线控制器100可以通过capwap报文对无线接入点300进行控制或配置，而交换机200可用于对无线接入点300的数据进行转发。进一步地，在本实施例中，在交换机200上预先配置capwap客户端，使交换机200支持capwap协议。这样，无线控制器100则可以通过capwap隧道和交换机200交互以对无线接入点300进行相应控制或配置相关信息。请参照图2，图2为一种应用于图1所示的无线控制器100的接入点控制方法，该方法可以包括步骤s110及步骤s120。步骤s110，检测接入交换机200的无线接入点300中是否存在非法无线接入点。详细地，本实施例中，非法无线接入点包括检测到的可能出现威胁网络安全、干扰网络服务、影响网络性能等行为的无线接入点300。例如，可以是，但不限于：当无线控制器100检测到某个无线接入点300未在预先配置的可信设备列表中时，则认为该无线接入点300为未经许可的非法无线接入点；或者，无线控制器100可以通过capwap隧道获取无线接入点300配置的安全策略，在检测到某个无线接入点300没有应用预设的安全策略时，认为该无线接入点300为未经许可的非法无线接入点。步骤s120，在检测到非法无线接入点时，通过与非法无线接入点接入的交换机200预先建立的capwap隧道向该交换机200发送控制信息，控制信息包括非法无线接入点的硬件标识，以控制该交换机200根据控制信息切断非法无线接入点接入的有源以太网端口的电源输出。在本实施例中，无线控制器100可以通过例如wips的方式检测接入交换机200的无线接入点300中是否存在非法无线接入点。值得说明的是，本实施例中并不限定无线控制器100检测非法无线接入点的方式，根据实际需要也可以采用其他检测方式实现对非法无线接入点的检测。可选地，请参照图3，由无线控制器100管理的多个无线接入点300可能连接于不同的交换机200上，并且交换机200上除了连接有无线接入点300，还可能连接有其他通信设备400。故在本实施例中，无线控制器100可先获取各无线接入点300的拓扑信息，获知由该无线控制器100管理的无线接入点300中，具体哪些无线接入点300连接在哪些交换机200上。详细地，请参照图4，在步骤s110之前，本实施例提供的方法还可以包括步骤s210及步骤s220。步骤s210，分别向多个交换机200发送该无线控制器100管理的各无线接入点300的硬件标识。其中，硬件标识可以为无线接入点300的mac地址后其它可以唯一标识该无线接入点300的硬件设备标识。步骤s220，接收每个交换机200根据接收到的各无线接入点300的硬件标识上报的拓扑信息，拓扑信息包括该无线控制器100管理的各无线接入点300中接入该交换机200的无线接入点300。详细地，交换机200本身记录有接入该交换机200的通信设备的硬件标识(例如mac地址)，各交换机200在接收到无线控制器100发送的无线接入点300的硬件标识后，根据硬件标识信息查询无线控制器100管理的各无线接入点300中，哪些是接入到该交换机200的无线接入点300，并生成向无线控制器100回复的拓扑信息。其中，拓扑信息中可以包括接入了该交换机200的各无线接入点300的硬件标识及各无线接入点300所接入的端口信息。如此，在步骤s120中，无线控制器100在检测到非法无线接入点时可以获取该非法无线接入点的硬件标识时，并根据非法无线接入点的硬件标识在拓扑信息中查询该非法无线接入点所接入的交换机200，然后向查询到的交换机200发送控制信息。基于上述设计，本实施例提供的方案，在无线控制器100检测到非法无线接入点时，可以通过无线控制器100与交换机200之间的capwap隧道通知相应的交换机200切断对非法无线接入点的poe供电，从而使非法无线接入点无法工作，彻底消除了非法无线接入点对网络系统的影响。同时，由于无线控制器100获取到了各无线接入点300的拓扑信息，在维护过程中可以在无线控制器100上快速定位需要寻找的无线接入点300，方便了网络系统的维护工作。另外，根据无线控制器100发送的无线接入点300的硬件标识，交换机200可以获知哪些通信设备是由无线控制器100管理的无线接入点300，从而交换机200可以提高对这些无线接入点300的报文进行转发的处理优先级，以优先转发这些无线接入点300发送的capwap报文。可选地，在本实施例中，无线控制器100还可以通过capwap隧道向交换机200发送供电策略配置信息。例如，在交换机200上预先配置多个供电策略，每个供电策略配置有相应的供电策略标识。无线控制器100向交换机200发送的供电策略配置信息中包括需要应用供电策略的目标无线接入点的硬件标识及需要应用于该目标无线接入点的供电策略标识，使交换机200根据供电策略标识对应的供电策略控制与目标无线接入点连接的poe端口的电源输出。例如，当设备管理员需要单独控制某个目标无线接入点在某个特定时间点上电或下电时，可根据交换机200之前预先配置好的对应的供电策略，将对应的供电策略标识及该目标无线接入点的硬件标识发送到该交换机200上，从而使得该交换机200可以根据该供电策略标识查找到对应的供电策略并根据所述目标无线接入点的硬件标识查找到该目标无线接入点所连接到的poe端口，然后可将该供电策略直接应用到该poe端口上，进而控制该poe端口的电源输出，例如在特定时间点上电或下电。如此，管理员可以在无线控制器100上对需无线接入点300所接入的poe端口进行远程配置，无线控制器100也可以根据一些预设条件自动地向无线接入点300接入的poe端口下发供电策略。可选地，在本实施例中，在将非法无线接入点的poe端口供电切断后，该非法无线接入点在一段时间后可能被移除，这时则可以恢复该poe端口的供电。相应地，在本实施例中，在向非法无线接入点接入的交换机200发送控制信息后，控制该交换机200在预设时长后恢复非法无线接入点接入的poe端口的电源输出。详细地，控制该交换机200在预设时长后恢复非法无线接入点接入的poe端口的电源输出的方式，可以是，无线控制器100在所述预设时长之后，直接发送所述控制指令，直接控制交换机200恢复相应poe端口的电源输出；也可以是，直接发送一个定时恢复指令，使交换机200在所述预设时长之后，再自动恢复相应poe端口的电源输出。如上，在切断非法无线接入点接入的poe端口的供电一段时间后，再恢复该poe端口的供电，如果检测到非法无线接入点已经不存在了，这个poe端口则可以继续被正常使用；如果在恢复供电之后，再次检测到该poe端口接入了非法无线接入点，则可以通过步骤s110及步骤s120再次切断该poe端口的供电。为方便本领域技术人员了解本实施例提供的方案，下面通过一个具体示例解释本实施例提供的方案。请再次参照图3，交换机200为无线接入点300提供poe端口，通过poe端口与无线接入点300通信连接并为无线接入点300供电。交换机200可以通过自身的机制学习到接入该交换机200的各通信设备的mac地址与接入端口的对应关系，并记录在交换机200本地的mac地址表中。换句话说，交换机200本地的mac地址表中可能包括由无线控制器100控制的无线接入点300的mac地址及其他通信设备400的mac地址。无线控制器100管理的各无线接入点300可以分布在不同的交换机200上，无线控制器100与无线接入点300之间通过capwap隧道通信，通过capwap隧道无线控制器100可以获取到由该无线控制器100管理的各无线接入点300的mac地址。交换机200上也预先配置有capwap客户端，使交换机200可以作为接入交换节点(accessswitchnode，简称asn)被无线控制器100发现，并与无线控制器100建立capwap隧道通信。针对无线控制器100与无线接入点300之间的capwap报文，新增了四种报文功能类型的消息。cpawap报文中消息的功能与类型值的对应关系如下表所示。capwap消息类型类型值说明discoveryrequest1discoveryresponse2joinrequest3joinresponse4configurationstatusrequest5configurationstatusresponse6configurationupdaterequest7configurationupdateresponse8wtpeventrequest9wtpeventresponse10changestateeventrequest11changestateeventresponse12echorequest13echoresponse14imagedatarequest15imagedataresponse16resetrequest17resetresponse18primarydiscoveryrequest19primarydiscoveryresponse20datatransferrequest21datatransferresponse22clearconfigurationrequest23clearconfigurationresponse24stationconfigurationrequest25stationconfigurationresponse26ac给asn分发mac地址的消息27新增asn上报ac拓扑关系的消息28新增ac给asn下发指定端口poedisable消息29新增ac给asn下发整机poe供电timerange策略30新增其中，四种新增的报文功能对应的消息类型值为27到30，并且上述四种新增的报文功能类型的消息，定义对应的报文消息元素格式可以如下表所示。其中，四种新增的报文功能对应的消息类型具体说明如下：第一种，用于由无线控制器100向交换机200分发其管理的无线接入点300的mac地址的报文，该报文的消息类型(msgtype)字段的值为27，消息元素(msgelement)字段用于写入由无线控制器100管理的无线接入点300的mac地址。第二种，用于由交换机200向无线控制器100上报拓扑信息的报文，该报文的消息类型字段的值为28，消息元素字段用于写入无线接入点300的mac地址及接入交换机200的端口号。第三种，用于由无线控制器100向交换机200下发端口控制信息的报文，该报文的消息类型字段的值为29，消息元素字段用于写入需要限制供电的无线接入点300的mac地址、无线接入点300接入交换机200的端口号以及控制动作位，其中控制动作位的值为0时表示切断相应poe端口的供电输出，控制动作位的值为1时表示回复相应poe端口的供电输出。第四种，用于无线控制器100向将换机下发供电策略的报文，该报文的消息类型的值为30，消息元素字段用于接入无线接入点300的mac地址、无线接入点300接入交换机200的端口号以及需要应用在该无线接入点300上的供电策略id号。无线控制器100在获取到由该无线控制器100管理的各无线接入点300的mac地址后，先通过与各交换机200之间的capwap隧道将由该无线控制器100管理的各无线接入点300的mac地址发送给各交换机200。交换机200在接收到无线控制器100发送的mac地址后，与自身mac地址表进行比对，查询由无线控制器100控制的哪些无线接入点300接入到了该交换机200。将查询到的无线接入点300的mac地址及相应的接入端口信息作为拓扑信息发送给无线控制器100。无线控制器100接收并记录各交换机200发送的拓扑信息后即可获知由该无线控制器100控制的无线接入点300中，哪个或哪些无线接入点300接入到了哪个交换机200的哪个端口。交换机200也可以根据无线控制器100发送的无线接入点300的mac地址配置qos优先级保障策略，使这些无线接入点300的capwap报文按照该qos优先级保障策略被有序处理。无线控制器100可持续的检测是否存在非法无线接入点，在检测到非法无线接入点时，获取该非法无线接入点的mac地址。然后，在之前获取的拓扑信息中根据该非法无线接入点的mac地址查询该非法无线接入点接入到哪个交换机200。无线控制器100通过与该交换机200之间的capwap隧道发送控制信息，控制信息中包括非法无线接入点的mac地址。交换机200接收到控制信息后，根据非法无线接入点的mac地址在其mac地址表中查询该非法无线接入点所连接的poe端口，并切断该poe端口的供电输出，使非法无线接入点掉电，从而彻底地消除非法无线接入点的影响。请参照图6，图6为图1所示无线接入点300的硬件结构示意图，无线控制器100包括接入点控制装置110、机器可读存储介质120及处理器130。机器可读存储介质120及处理器130之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。接入点控制装置110包括至少一个可以软件或固件(firmware)的形式存储于机器可读存储介质120中或固化在无线控制器100的操作系统(operatingsystem，os)中的软件功能模块。处理器130用于执行机器可读存储介质120中存储的可执行模块，例如接入点控制装置110所包括的软件功能模块及计算机程序等。其中，机器可读存储介质120可以是，但不限于，随机存取存储器(randomaccessmemory，ram)，只读存储器(readonlymemory，rom)，可编程只读存储器(programmableread-onlymemory，prom)，可擦除只读存储器(erasableprogrammableread-onlymemory，eprom)，电可擦除只读存储器(electricerasableprogrammableread-onlymemory，eeprom)等。其中，机器可读存储介质120用于存储程序，处理器130在接收到执行指令后，执行程序。请参照图6，本实施例还提供一种应用于图1所示无线控制器100的接入点控制装置110，该从功能上划分，该装置包括检测模块111及控制模块112。检测模块111用于检测接入交换机200的无线接入点300中是否存在非法无线接入点。控制模块112用于在检测到非法无线接入点时，通过与非法无线接入点接入的交换机200预先建立的无线接入点300控制和配置协议capwap隧道向该交换机200发送控制信息，控制该交换机200切断非法无线接入点接入的有源以太网端口的电源输出，控制信息包括非法无线接入点的硬件标识。可选地，在本实施例中，请参照图7，无线控制器100与多个交换机200通信连接，装置还包括标识下发模块113及拓扑信息获取模块114。标识下发模块113用于分别向多个交换机200发送该无线控制器100管理的各无线接入点300的硬件标识。拓扑信息获取模块114用于接收每个交换机200根据接收到的各无线接入点300的硬件标识上报的拓扑信息，拓扑信息包括该无线控制器100管理的各无线接入点300中接入该交换机200的无线接入点300。可选地，在本实施例中，控制模块112具体用于获取该非法无线接入点的硬件标识；根据非法无线接入点的硬件标识在拓扑信息中查询该非法无线接入点接入的交换机200；向在拓扑信息中查询到的交换机200发送控制信息。可选地，在本实施例中，装置还包括供电策略下发模块。供电策略下发模块用于通过capwap隧道向交换机200发送供电策略配置信息，供电策略配置信息包括目标无线接入点的硬件标识及应用于该目标无线接入点的供电策略标识，使交换机200根据供电策略标识将相应的供电策略应用至与目标无线接入点连接的有源以太网端口。可选地，在本实施例中，所述控制模块112还用于在向非法无线接入点接入的交换机200发送控制信息后，控制该交换机200在预设时长后恢复非法无线接入点接入的有源以太网端口的电源输出。综上，本申请提供的接入点控制方法及装置，通过在无线控制器与连接有无线接入点的交换机之间建立capwap隧道，无线控制器在检测到非法无线接入点时，再通过capwap隧道发送的控制信息控制非法无线接入点接入的交换机的相应poe端口的电源输出，以切断对非法无线接入点的供电，从而彻底消除非法无线接入点的影响。在本申请所提供的实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本
技术领域：
的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。当前第1页12