技术领域本发明实施例涉及通信技术,尤其涉及一种访问控制方法、系统和接入点。
背景技术:
通常,大型无线局域网(WirelessLocalAreaNetworks,简称WLAN)采用集中式网络架构,包括接入控制器(AccessController,简称AC)和接入点(AccessPoint,简称AP)。AP除了提供无线射频信号外,基本不具备管控功能。为了实现无线局域网的功能,除了AP外,还需要具备管理控制功能的设备AC。AC的主要功能是对无线局域网中的所有AP进行管理和控制,它和AP配合共同完成无线局域网功能。一个AC可以控制和管理多个AP。AP在接收到工作站(station,简称STA)所发送的报文之后,对STA的报文通过隧道方式传输至AC,由AC对这些报文进行集中式转发处理。由于集中式网络架构中,AP设备需要受管于AC,若AC出现故障,则AP无法独立工作,导致无线局域网瘫痪。
技术实现要素:
本发明实施例提供一种访问控制方法、系统和接入点,用于解决现有技术中在AC出现故障时,AP设备无法独立工作,导致无线局域网瘫痪的技术问题。本发明的第一个方面是提供一种访问控制方法,用于包括接入控制器AC和接入点AP的无线局域网WLAN中,第一工作站STA通过所述AC认证后建立与所述AP之间的关联,所述方法包括:当所述AC出现故障时,所述AP根据所述AC的IP和MAC地址,对所述AP的网络层接口进行配置;所述AP通过所述配置后的网络层接口接收到所述第一STA用于请求访问外部服务器的报文时,将所述报文路由至所述WLAN中的万维网Web服务器。在第一方面的第一种可能的实现方式中,所述AP通过所述配置后的路由接口接收到所述第一STA用于请求访问外部服务器的报文时,将所述报文路由至所述WLAN中的万维网Web服务器,包括:所述AP接收所述STA发送的超文本传送协议http请求报文,所述http请求报文用于向外部服务器请求获取数据;若所述AP确定所述Web服务器已缓存有所述数据,则将所述http请求报文重定向至所述Web服务器所缓存的所述数据的统一资源定位符URL。结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述AP接收所述STA发送的超文本传送协议http请求报文之前,还包括:所述AP接收所述STA发送的域名系统DNS请求报文;所述DNS请求报文用于请求根据所述外部服务器的域名,解析获得所述外部服务器的IP地址;所述AP将未处于所述WLAN网段内的IP地址作为所述外部服务器的IP地址;所述AP向所述STA发送包括所述外部服务器的IP地址的DNS响应报文。结合第一方面,在第一方面的第三种可能的实现方式中,所述方法还包括:所述AP接收第二STA的关联请求,所述关联请求包括所述AP的标识;所述AP采用开放系统认证方式,建立与所述第二STA之间的关联;当所述AC故障解除之后,所述AP从所述AC获取合法用户列表;若所述第二STA未处于所述合法用户列表中,则所述AP解除与所述第二STA之间的关联。结合第一方面、第一方面的第一种可能的实现方式、第一方面的第二种可能的实现方式和第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,在所述AC出现故障之前,所述方法还包括:所述AP监听所述第一STA与所述AC之间的报文;所述AP对所述第一STA与所述AC之间的报文进行学习获得所述AC的IP和MAC地址。本发明的第二个方面是提供一种接入点AP,设置于包括接入控制器AC和所述AP的无线局域网WLAN中,所述AP包括:配置模块,用于当所述AC出现故障时,根据所述AC的IP和MAC地址,对网络层接口进行配置;路由模块,用于在通过所述配置后的网络层接口接收到第一工作站STA用于请求访问外部服务器的报文时,将所述报文路由至所述WLAN中的万维网Web服务器;所述第一STA已通过所述AC认证并建立与所述AP之间的关联。在第二方面的第一种可能的实现方式中,所述路由模块,包括:接收单元,用于所述AP接收所述第一STA发送的超文本传送协议http请求报文,所述http请求报文用于向外部服务器请求获取数据;重定向单元,用于若所述AP确定所述Web服务器已缓存有所述数据,则将所述http请求报文重定向至所述Web服务器所缓存的所述数据的统一资源定位符URL。结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,还包括:域名解析模块,用于接收所述第一STA发送的域名系统DNS请求报文;所述DNS请求报文用于请求根据所述外部服务器的域名,解析获得所述外部服务器的IP地址;将未处于所述WLAN网段内的IP地址作为所述外部服务器的IP地址;向所述第一STA发送包括所述外部服务器的IP地址的DNS响应报文。结合第二方面,在第二方面的第三种可能的实现方式中,所述AP,还包括:关联模块,用于接收第二STA的关联请求,所述关联请求包括所述AP的标识;采用开放系统认证方式,建立与所述第二STA之间的关联;当所述AC故障解除之后,从所述AC获取合法用户列表;若所述第二STA未处于所述合法用户列表中,则解除与所述第二STA之间的关联。结合第二方面、第二方面的第一种可能的实现方式、第二方面的第二种可能的实现方式和第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,还包括:学习模块,用于在所述AC出现故障之前,监听所述第一STA与所述AC之间的报文;对所述第一STA与所述AC之间的报文进行学习获得所述AC的IP和MAC地址。本发明的第三个方面是提供一种访问控制系统,包括接入控制器AC和如上所述的接入点AP。本发明实施例提供的访问控制方法、系统和接入点,通过当AC出现故障时,AP根据预先学习获得的AC的IP和MAC地址,对AP的网络层接口进行配置,进而AP利用配置后的网络层接口,对所接收到的第一STA用于请求访问外部服务器的报文路由至WLAN中的Web服务器,实现了无线局域网的互连互通,避免了在集中式网络架构中,由于AC出现故障所导致的无线局域网的瘫痪。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例提供的一种访问控制方法的流程示意图;图2为本发明实施例提供的另一种访问控制方法的流程示意图;图3为本发明实施例提供的一种AP的结构示意图;图4为本发明实施例提供的另一种AP的结构示意图;图5为本发明实施例提供的又一种AP的结构示意图;图6为本发明实施例提供的一种访问控制系统的结构示意图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图1为本发明实施例提供的一种访问控制方法的流程示意图,本实施例所提供的方法由AP执行,该方法用于包括AC和AP的WLAN中,第一STA通过该AC认证后建立与AP之间的关联,本实施例所提供的接入控制方法可以包括以下步骤:101、当AC出现故障时,AP根据AC的互联网协议(InternetProtocol,简称IP)和介质访问控制(MediaAccessControl,简称MAC)地址,对AP的网络层接口进行配置。具体的,AP在第一STA与AC之间进行交互时,监听第一STA与AC之间的报文,并对该报文进行学习获得AC的IP和MAC地址。具体来说,监听STA的动态主机配置协议(DynamicHostConfigurationProtocol,简称DHCP)报文,从DHCP确认(ACK)报文中,学习获得网关IP地址,即AC的IP地址,以及该IP地址所在的网段,将该网段作为WLAN网段,AP记录该学习获得的AC的IP地址。然后,AP根据学习获得的AC的IP地址,进一步学习获得AC的MAC地址。具体通过监听STA发送的ARP报文,将AC的IP地址匹配地址解析协议(AddressResolutionProtocol,简称ARP)报文中的IP地址,若匹配上则记录ARP报文中的网关MAC地址,即AC的MAC地址。从而,在AC出现故障时,AP利用学习获得的AC的IP和MAC地址,对AP的网络层接口进行配置,启动该网络层接口。其中,网络层是指开放式系统互联参考模型(OpenSystemInterconnectReferenceModel,简称OSI)的第三层。所述网络层接口,用于在网络层进行报文的路由。102、AP通过配置后的网络层接口接收到第一STA用于请求访问外部服务器的报文时,将报文路由至WLAN中的Web服务器。具体的,AP接收STA发送的http请求报文,该超文本传送协议(Hypertexttransferprotocol,简称http)请求报文用于向外部服务器请求获取数据,若AP确定Web服务器已缓存有数据,则将http请求报文重定向至Web服务器所缓存的数据的统一资源定位符(UniformResourceLocator,简称URL)。本实施例中,通过当AC出现故障时,AP根据预先学习获得的AC的IP和MAC地址,对AP的网络层接口进行配置,进而AP利用配置后的网络层接口,对所接收到的第一STA用于请求访问外部服务器的报文路由至WLAN中的Web服务器,实现了无线局域网的互连互通,避免了在集中式网络架构中,由于AC出现故障所导致的无线局域网的瘫痪。图2为本发明实施例提供的另一种访问控制方法的流程示意图,本实施例所提供的方法由AP执行,该方法用于包括AC和AP的WLAN中,该方法可以包括以下步骤:201、第一STA接入AP。可选的,第一STA进行主动扫描,发现该AP,第一STA通过该AP和该AC的交互,执行无线链路的认证过程;若该AC确认该第一STA通过认证,则该AC将该第一STA增加到合法用户列表中,并指示该AP与第一STA关联;该AP根据该AC的指示,与第一STA协商无线链路的服务参数,完成无线链路的建立。AP维护一用户列表,该用户列表包括已接入该AP的STA的标识,在该用户列表中,可以标记第一STA为受管用户。202、第一STA访问外部服务器时,AP对第一STA的报文进行监听,学习获得该AC的IP和MAC地址。具体的,第一STA访问外部服务器时,需要通过AP向AC发送用于请求访问外部服务器的报文,进而由AC对该报文进行集中转发处理。在此过程中,AP对该第一STA发送的用户请求访问外部服务器的报文进行监听,从而学习获得AC的IP和MAC地址。具体来说,AP监听STA的DHCP报文,从DHCPACK报文中,学习获得WLAN的网关IP,即AC的IP地址,以及该IP所在的网段,将该网段作为WLAN网段,AP记录该学习获得的AC的IP。然后,AP根据学习获得的AC的IP,进一步学习获得AC的MAC地址。具体通过监听第一STA发送的ARP报文,将AC的IP匹配ARP报文中的IP,若匹配上则记录ARP报文中的网关MAC地址,即AC的MAC地址。203、AP确定AC出现故障之后,根据预先学习获得的AC的IP和MAC地址,对AP的网络层接口进行配置并构造地址池。具体的,AP确定AC出现故障之后,根据预先学习获得的AC的IP和MAC地址配置网络层接口,并根据在学习过程中所确定的该WLAN网段构造地址池,以利用该地址池为接入该AP的STA分配IP地址。204、AP利用配置后的网络层接口,接收第一STA发送的http请求报文。其中,http请求报文用于请求获取外部服务器中数据,例如,视频内容、页面等。具体的,可预先在AP内部部署一http代理,当第一STA需要访问外部服务器时,首先发送请求访问外部服务器的同步(synchronous,简称SYN)报文,http代理利用配置后的网络层接口,接收到该SYN报文后,模拟该外部服务器完成与第一STA的传输控制协议(TransmissionControlProtocol,简称TCP)握手,建立http代理与第一STA之间的TCP连接。http代理通过配置后的网络层接口,接收该第一STA在该TCP连接上发送的http请求报文。205、AP根据外网路由表项,将http请求报文重定向至Web服务器所缓存的该内容页面的统一资源定位符(UniformResourceLocator,简称URL)。具体的,可以预先在WLAN内部署一Web服务器,该Web服务器中可预先缓存第一STA访问频率较高的外部服务器中的内容页面,页面内容可涉及用户所感兴趣的内容,比如:新闻、视频和游戏等。AP内部部署的http代理接收该第一STA发送的http请求报文之后,根据路由表中的外网路由表项,将该http请求报文重定向至Web服务器所缓存的该内容页面的URL,也就是说向第一STA返回携带该URL的http重定向报文。从而使得第一STA接收到该http重定向报文之后,关闭http代理与第一STA之间的TCP连接,建立与Web服务器之间的新连接,进而通过该新连接,根据URL获取Web服务器所缓存的该内容页面。进一步,http请求报文中需包括外部服务器的IP地址,若第一STA仅获知外部服务器的域名,还需要经过DNS过程,从而获取外部服务器的IP地址。具体的,AP接收第一STA发送的DNS请求报文,该DNS请求报文用于请求根据外部服务器的域名,解析获得外部服务器的IP地址;进而,AP将未处于WLAN网段内的IP地址作为外部服务器的IP地址,也就是进行DNS欺骗(spoofing);并向第一STA发送包括外部服务器的IP地址的DNS响应报文。可见,当第一STA请求获取外部服务器中内容页面时,通过AP进行重定向使得第一STA根据重定向的URL从在WLAN内部署的Web服务器获取该内容页面,避免了由于AC故障导致的第一STA无法获取外部服务器中内容页面的情况发生。206、第二STA接入该AP。具体的,AP接收第二STA发送的关联请求,该AP采用开放系统认证方式,也就是采用简化的认证甚至不进行认证,建立与所述第二STA之间的关联;具体包括:AP根据上述预先构造的地址池为第二STA分配空闲IP,所述第二STA以该空闲IP与该AP建立无线链路,完成第二STA与AP之间的关联。进一步,在第二STA接入AP之后,当第二STA请求访问外部服务器时,AP对于所接收到的第二STA发送的http请求报文执行的处理过程,可参考步骤204和205中AP对第一STA发送的http请求报文的处理,具体处理过程此处不再赘述。可见,对于AC发生故障前已经由AC完成了关联流程的第一STA,在AC发生故障后,由于AP根据预先学习获得的AC的IP和MAC地址,对AP的网络层接口进行配置,进而AP利用配置后的网络层接口,对所接收到的第一STA的报文路由至WLAN中的Web服务器,因此,第一STA可以实现WLAN的访问过程。而对于在AC发生故障后需要接入该WLAN的第二STA,在本实施例中由AP完成关联流程,从而使得在AC发生故障后第二STA实现WLAN的接入。在关联过程中,AP对于第二STA简化认证甚至不进行认证,并根据预先构造的地址池为第二STA分配空闲IP,使该第二STA可以该空闲IP关联到该AP。进一步的,该AP在用户列表中可以标记第二STA为未受管用户,以指示该第二STA为在AC发生故障后接入的、未经AC认证的用户。207、当AC故障解除时,AP从AC获取合法用户列表。具体的,当AC故障解除时,AP关闭DHCP服务、网关代理以及DNSspoofing。并且,AP从AC获取合法用户列表,该合法用户列表用于记录通过AC认证的STA的标识。208、若第二STA不在合法用户列表中,则AP解除与第二STA之间的关联。具体的,若第二STA不在合法用户列表中,则AP解除与第二STA之间的关联,若第二STA在合法用户列表中,则AP在用户列表中将该第二STA转为受管状态。本实施例中,通过当AC出现故障时,AP根据预先学习获得的AC的IP和MAC地址,对AP的网络层接口进行配置,进而AP利用配置后的网络层接口,对所接收到的第一STA用于请求访问外部服务器的报文路由至WLAN中的Web服务器,实现了无线局域网的互连互通,避免了在集中式网络架构中,由于AC出现故障所导致的无线局域网的瘫痪。另外,在AC出现故障之后允许第二STA进行接入,并在AC故障解除之后,从AC获取合法用户列表,对该第二STA进行认证,解决了AC出现故障时,STA无法进行接入的问题。图3为本发明实施例提供的一种AP的结构示意图,AP设置于包括接入AC和AP的WLAN中。如图3所示,AP包括:配置模块31和路由模块32。配置模块31,用于当所述AC出现故障时,根据所述AC的IP和MAC地址,对网络层接口进行配置。具体的,AP在第一STA与AC之间进行交互时,监听第一STA与AC之间的报文,并对该报文进行学习获得AC的IP和MAC地址。具体来说,监听STA的DHCP报文,从DHCPACK报文中,学习获得网关IP地址,即AC的IP地址,以及该IP地址所在的网段,将该网段作为WLAN网段,AP记录该学习获得的AC的IP地址。然后,AP根据学习获得的AC的IP地址,进一步学习获得AC的MAC地址。具体通过监听STA发送的ARP报文,将AC的IP地址匹配ARP报文中的IP地址,若匹配上则记录ARP报文中的网关MAC地址,即AC的MAC地址。从而,在AC出现故障时,AP利用学习获得的AC的IP和MAC地址,对AP的网络层接口进行配置,启动该网络层接口。路由模块32,与配置模块31连接,用于在通过所述配置后的网络层接口接收到第一STA用于请求访问外部服务器的报文时,将所述报文路由至所述WLAN中的Web服务器。其中,第一STA已通过所述AC认证并建立与所述AP之间的关联,第一STA的个数可为至少一个,其存在形式可为个人计算机、个人助理和移动终端等。本发明实施例所提供的AP用于执行如图1所示的访问控制方法,具体AP的各模块的功能参考图1对应的访问控制方法实施例中相应内容,本实施例中不再赘述。本实施例中,通过当AC出现故障时,AP根据预先学习获得的AC的IP和MAC地址,对AP的网络层接口进行配置,进而AP利用配置后的网络层接口,对所接收到的第一STA用于请求访问外部服务器的报文路由至WLAN中的Web服务器,实现了无线局域网的互连互通,避免了在集中式网络架构中,由于AC出现故障所导致的无线局域网的瘫痪。图4为本发明实施例提供的另一种AP的结构示意图,在上一实施例的基础上,所述路由模块32进一步包括:接收单元321和重定向单元322。接收单元321,用于接收第一STA发送的http请求报文。其中,http请求报文用于向外部服务器请求获取数据。具体的,当第一STA需要访问外部服务器时,首先发送请求访问外部服务器的SYN报文,接收单元321接收到该SYN报文后,模拟该外部服务器完成与第一STA的TCP握手,建立AP与第一STA之间的TCP连接。接收单元321通过配置后的网络层接口,接收该第一STA在所述TCP连接上发送的http请求报文。重定向单元322,与接收单元321连接,用于若所述AP确定所述Web服务器已缓存有所述数据,则将所述http请求报文重定向至所述Web服务器所缓存的所述数据的URL。进一步,所述AP还包括:域名解析模块33。域名解析模块33,与路由模块32连接,用于接收所述第一STA发送的域名系统DNS请求报文;将未处于所述WLAN网段内的IP地址作为所述外部服务器的IP地址;向所述第一STA发送包括所述外部服务器的IP地址的DNS响应报文。其中,DNS请求报文用于请求根据所述外部服务器的域名,解析获得所述外部服务器的IP地址。进一步,所述AP还包括:关联模块34。关联模块34,与路由模块32连接,用于接收第二STA的关联请求,所述关联请求包括所述AP的标识;采用开放系统认证方式,建立与所述第二STA之间的关联;当所述AC故障解除之后,从所述AC获取合法用户列表;若所述第二STA未处于所述合法用户列表中,则解除与所述第二STA之间的关联。更近一步,所述AP还包括:学习模块35。学习模块35,与配置模块31连接,用于在所述AC出现故障之前,监听所述第一STA与所述AC之间的报文;对所述第一STA与所述AC之间的报文进行学习获得所述AC的IP和MAC地址。本发明实施例所提供的AP用于执行如图2所示的访问控制方法,具体AP的各模块的功能参考图2对应的访问控制方法实施例中相应内容,本实施例中不再赘述。本实施例中,通过当AC出现故障时,AP根据预先学习获得的AC的IP和MAC地址,对AP的网络层接口进行配置,进而AP利用配置后的网络层接口,对所接收到的第一STA用于请求访问外部服务器的报文路由至WLAN中的Web服务器,实现了无线局域网的互连互通,避免了在集中式网络架构中,由于AC出现故障所导致的无线局域网的瘫痪。另外,在AC出现故障之后允许第二STA进行接入,并在AC故障解除之后,从AC获取合法用户列表,据此对该第二STA进行认证,解决了AC出现故障时,STA无法进行接入的问题。图5为本发明实施例提供的又一种AP的结构示意图,该AP包括:处理器501、存储器502、无线接口503和总线504。处理器501、存储器502、无线接口503通过总线504相互连接;总线504可以是外设部件互连标准(peripheralcomponentinterconnect,简称PCI)总线或扩展工业标准结构(extendedindustrystandardarchitecture,简称EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。存储器502,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器502可能包含随机存取存储器(randomaccessmemory,简称RAM)存储器,也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。处理器501执行存储器502所存放的程序,实现本发明实施例提供的访问控制方法,包括:当所述AC出现故障时,所述AP根据所述AC的IP和MAC地址,对所述AP的网络层接口进行配置;所述AP通过所述配置后的网络层接口接收到所述第一STA用于请求访问外部服务器的报文时,将所述报文路由至所述WLAN中的Web服务器。具体的,AP接收所述STA发送的http请求报文,所述http请求报文用于向外部服务器请求获取数据;若所述AP确定所述Web服务器已缓存有所述数据,则将所述http请求报文重定向至所述Web服务器所缓存的所述数据的URL。进一步,所述方法还可以包括:所述AP接收第二STA的关联请求,所述关联请求包括所述AP的标识;所述AP采用开放系统认证方式,建立与所述第二STA之间的关联;当所述AC故障解除之后,所述AP从所述AC获取合法用户列表;若所述第二STA未处于所述合法用户列表中,则所述AP解除与所述第二STA之间的关联。更进一步,在所述AC出现故障之前,所述方法还可以包括:所述AP监听所述第一STA与所述AC之间的报文;所述AP对所述第一STA与所述AC之间的报文进行学习获得所述AC的IP和MAC地址。上述的处理器501可以是通用处理器,包括中央处理器(CentralProcessingUnit,简称CPU)、网络处理器(NetworkProcessor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。本发明实施例还提供了一种访问控制系统,该访问控制系统用于包括接入AC1和AP2的无线局域网WLAN中,第一工作站STA通过AC1认证后建立与所述AP2之间的关联,图6为本发明实施例提供的一种访问控制系统的结构示意图,包括AC1和AP2。所述AP2的结构和工作原理可以参考本发明图3至图5实施例所述。AC1,用于故障解除时,向AP2提供合法用户列表;其中,合法用户列表用于记录通过AC1认证的STA的标识。本实施例中,通过当AC出现故障时,AP根据预先学习获得的AC的IP和MAC地址,对AP的网络层接口进行配置,进而AP利用配置后的网络层接口,对所接收到的第一STA用于请求访问外部服务器的报文路由至WLAN中的Web服务器,实现了无线局域网内部的互连互通,避免了在集中式网络架构中,由于AC出现故障所导致的无线局域网的瘫痪。本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。