一种接入点设备配置装置及其方法、一种接入点设备与流程

本发明涉及通信
技术领域：
，尤其涉及一种接入点设备配置装置及其方法、一种接入点设备。
背景技术：
：无线AP(AccessPoint，接入点)，俗称“热点”，是一个无线网络的接入点。主要包括路由交换接入一体设备和纯接入点设备，其中，一体设备执行接入和路由工作。无线AP是使用无线设备(手机等移动设备和笔记本电脑等无线设备)用户进入有线网络的接入点，主要用于带宽家庭、大楼内部、校园内部、园区内部、仓库、工厂等需要无线监控的地方。无线AP作为传统布线网络的一种替代方案或延伸，无线局域网把个人从办公桌边解放了出来，使人们可以随时随地获取信息，为人们提供便利。目前，一般来说，无线AP的SSID(ServiceSetIdentifier，服务集标识)都为普通用户SSID，用户连接上SSID后可以透明的访问网络资源，实现了上网的方便快速。但是，出于安全考虑，普通用户连接上SSID后是禁止访问AP页面或者云AC(CloudController，云控制器)页面的。这样，管理人员若想要配置无线AP，只有通过登录AP页面或者访问云AC页面的方式来实现。管理人员在登录AP页面时，需要通过访问WAN(WideAreaNetwork，广域网)口IP地址的方式实现。且在这一过程中需要管理人员通过串口线登陆串口来获取WAN口IP地址，无疑操作起来存在诸多不便。技术实现要素：针对上述问题，本发明提供了一种接入点设备配置装置及其方法以及一种接入点设备，有效解决了接入点配置页面的快速登录问题。本发明提供的技术方案如下：一种接入点设备配置方法，该接入点设备中包括至少一个普通SSID和至少一个管理SSID，其中，终端登录所述普通SSID访问互联网，终端登录所述管理SSID访问接入点配置页面；所述接入点设备配置方法中包括：S1接入点设备通过管理SSID与终端连接；S2DHCP服务器进程基于预设的地址池为终端分配一IP地址；S3根据预设的iptables防火墙规则，限定终端访问接入点配置页面，以此实现对接入点设备的配置。在本技术方案中，在接入点设备中预留管理SSID口，供管理人员配置接入点设备时使用。当需要对接入点设备进行设置时，管理人员直接通过连接管理SSID就能登录接入点配置页面进行配置(只能登陆接入点配置页面不能访问其他网络资源)，不再需要通过访问WAN口IP地址的方式实现，实现了对接入点设备更加方便和高效的管理。进一步优选地，在步骤S1中具体包括：所述管理SSID工作在隐藏模式中，终端通过手动的方式连接管理SSID。在本技术方案中，将管理SSID设置为隐藏模式，这样其他需要访问互联网的用户无法搜索到该管理SSID，管理人员可以通过手动连接管理SSID的方式来登陆接入点配置页面或通过telnet访问串口，进行命令行配置等操作来登陆。大大提高了管理SSID的安全性能。进一步优选地，在步骤S3中具体包括：根据iptables的网络地址转换规则，限定终端只访问接入点配置页面，所述接入点配置页面为接入点页面或云控制器页面。在本技术方案中，通过iptables防火墙规则限定终端的访问连接，以实现目的。进一步优选地，在步骤S1之前包括：S01设定接入点设备的管理SSID；S02添加一DHCP服务器进程并分配地址池；S03设定iptables防火墙规则。在本技术方案中，为了实现终端连接的控制，iptables防火墙规则根据相应的地址池进行设定，以此管理人员直接通过连接管理SSID就能实现接入点配置页面的登录。进一步优选地，在步骤S01之后还包括：S012创建一区别于第一桥接口的第二桥接口，其中，所述第一桥接口作为普通SSID的通道，第二桥接口作为管理SSID的通道；在步骤S02中具体包括：添加一DHCP服务器进程并分配地址池，所述地址池与第二桥接口的IP地址属于同一网段。在本技术方案中，创建了一专属于管理SSID的通道，这样，用户SSID和管理SSID各自实现了不同的功能的同时相互之间不会互相干扰，实现了管理人员对接入点设备的高效接入及管理，同时又实现了用户对于网络资源的快捷访问。本发明还提供了一种接入点设备配置装置，包括：终端连接模块，用于通过管理SSID与终端连接；与所述终端连接模块连接的地址分配模块，基于预设的地址池为终端分配一IP地址；与所述地址分配模块连接的访问限制模块，根据预设的iptables防火墙规则，限定终端访问接入点配置页面。在本技术方案中，在接入点设备中预留管理SSID口，供管理人员配置接入点设备时使用。当需要对接入点设备进行设置时，管理人员直接通过终端连接模块连接管理SSID就能登录接入点配置页面进行配置，不再需要通过访问WAN口IP地址的方式实现，实现了对接入点设备更加方便和高效的管理。进一步优选地，所述管理SSID工作在隐藏模式中，终端通过手动的方式连接管理SSID；和/或，在访问限制模块中，根据iptables的网络地址转换规则，限定终端只访问接入点配置页面，所述接入点配置页面为接入点页面或云控制器页面。在本技术方案中，将管理SSID设置为隐藏模式，这样其他需要访问互联网的用户无法搜索到该管理SSID，管理人员可以通过手动连接管理SSID的方式来登陆接入点配置页面或通过telnet访问串口，进行命令行配置等操作来登陆。大大提高了管理SSID的安全性能。进一步优选地，所述接入点设备配置装置中还包括：分别与所述终端连接模块、访问限制模块以及地址分配模块连接的配置模块，用于设定接入点设备的管理SSID、分配地址池以及设定iptables防火墙规则。进一步优选地，所述接入点设备配置装置中还包括：与所述配置模块连接的桥接口创建模块，用于创建区别于第一桥接口的第二桥接口，其中，所述第一桥接口作为普通SSID的通道，第二桥接口作为管理SSID的通道。在本技术方案中，创建了一专属于管理SSID的通道，这样，用户SSID和管理SSID各自实现了不同的功能的同时相互之间不会互相干扰，实现了管理人员对接入点设备的高效接入及管理，同时又实现了用户对于网络资源的快捷访问。本发明还提供了一种接入点设备，该接入点设备中包括上述接入点设备配置装置。在本技术方案中，在接入点设备中预留管理SSID口，供管理人员配置接入点设备时使用。当需要对接入点设备进行设置时，管理人员直接通过连接管理SSID就能登录接入点配置页面进行配置，实现了对接入点设备更加方便和高效的管理。另外，在接入点设备中创建了各管理SSID的专用通道，以此用户SSID和管理SSID各自实现了不同的功能的同时相互之间不会互相干扰，实现了管理人员对接入点设备的高效管理。附图说明下面将以明确易懂的方式，结合附图说明优选实施方式，对上述特性、技术特征、优点及其实现方式予以进一步说明。图1为本发明中接入点设备配置方法一种实施方式流程示意图；图2为本发明中接入点设备配置方法另一种实施方式流程示意图；图3为本发明中接入点设备配置方法另一种实施方式流程示意图；图4为本发明中接入点设备配置装置一种实施方式示意图；图5为本发明中接入点设备配置装置另一种实施方式示意图；图6为本发明中接入点设备配置装置另一种实施方式示意图。附图标号说明：100-接入点设备配置装置，110-终端连接模块，120-地址分配模块，130-访问限制模块，140-配置模块，150-桥接口创建模块。具体实施方式为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对照附图说明本发明的具体实施方式。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图，并获得其他的实施方式。如图1所示为本发明提供的接入点设备配置方法一种实施方式流程图，具体在该接入点设备中包括至少一个普通SSID和至少一个管理SSID，其中，终端登录普通SSID访问互联网，终端登录管理SSID访问接入点配置页面。从图中可以看出，在该接入点设备配置方法中包括：S1接入点设备通过管理SSID与终端连接；S2DHCP服务器进程基于预设的地址池为终端分配一IP地址；S3根据预设的iptables防火墙规则，限定终端访问接入点配置页面，以此实现对接入点设备的配置。我们知道，一般来说，接入点设备在启动时，都会创建一个桥接口br-lan(下述第一桥接口)。具体，在AP桥模式下，终端连接上普通SSID后自动获取的IP地址是外网提供的可直接访问网络资源。在AP路由模式下，由此时开启了NAT(NetworkAddressTranslation，网络地址转换)功能，终端连接上普通SSID后自动获取的IP地址网段是由接入点设备中DHCP服务器进程提供的，且获取到的IP地址与桥接口br-lan属于同一网段，之后再通过NAT规则实现对访问网络资源的访问。在一个具体实施例中，若创建的桥接口br-lan的IP地址为192.168.200.1，在AP桥模式下，终端连接上普通SSID后自动获取到的外网网段IP地址为10.2.3.1，则终端通过该10.2.3.1直接访问网络资源。在AP路由模式下，终端连接上普通SSID之后，DHCP服务器自动从地址池192.168.200.x中分配一与桥接口br-lan同网段的IP地址192.168.200.6；之后通过NAT转发规则将该IP地址转换成外网IP地址，实现对网络资源的访问。基于此，在本实施方式中，在使用接入点设备配置方法对接入点设备进行配置之前，如图2所示，还包括以下步骤：S01设定接入点设备的管理SSID；S02添加一DHCP服务器进程并分配一地址池；S03基于分配的地址池设定iptables防火墙规则。要说明的是，在本实施方式中，为DHCP服务器进程分配的地址池区别于连接普通SSID时DHCP服务器的地址池，但两个地址池都与桥接口br-lan属于同一个网段。如，在一个具体实施例中，桥接口br-lan的IP地址为192.168.200.1，两个地址池都属于192.168.200.x网段，且原有的DHCP服务器分配的地址池的范围为：192.168.200.2～192.168.200.150，新添DHCP服务器分配的地址池的范围为192.168.200.151～192.168.200.255，之后相应的对iptables防火墙规则进行设定。具体，当终端连接上普通SSID时分配到的地址为192.168.200.6，可以访问互联网；当终端连接上管理SSID时分配到的地址为192.168.200.200，被iptables防火墙规则限定只能访问接入点配置页面，以此实现本实施方式的目的。基于上述设置之后，在本实施方式中，不管是在AP桥模式还是在AP路由模式下，终端连接上管理SSID之后，新增的DHCP服务器进程基于预设的地址池为终端分配一与上述桥接口br-lan属于同一网段的IP地址。此时，终端发送的数据包进入到接入点设备中的桥br-lan中进行处理，根据iptables防火墙中的网络地址转换规则(具体包括iptables中以filter表FORWARD链做规则，在NAT表POSTROUNTING链上进行MASQUERADE地址转换)，限定终端只访问接入点配置页面而不能访问其他网络资源，具体该接入点配置页面为接入点页面(AP页面)或云控制器页面(云AC页面)。另外，接入点设备在工作过程中，为了提高管理SSID的安全性能，将管理SSID设置为隐藏模式，这样其他需要访问互联网的用户无法搜索到该管理SSID，管理人员可以通过手动连接管理SSID的方式来登陆接入点配置页面或通过telnet访问串口，进行命令行配置等操作来登陆。对上述实施方式进行改进，在本实施方式中，在使用接入点设备配置方法对接入点设备进行配置之前，如图3所示，包括以下步骤：S01设定接入点设备的管理SSID；S012创建一区别于第一桥接口(这里的第一桥接口即为上述的桥接口br-lan)的第二桥接口br-mgt，其中，第一桥接口作为普通SSID的通道，第二桥接口br-mgt作为管理SSID的通道；S02添加一DHCP服务器进程并分配一地址池，地址池与第二桥接口的IP地址属于同一网段；S03基于分配的地址池设定iptables防火墙规则。可以看出，在本实施方式中，新增了一个第二桥接口br-mgt与第一桥接口br-lan独立开来，并将该第二桥接口br-mgt作为专用于管理SSID的通道，以此用户SSID和管理SSID各自实现了不同的功能的同时相互之间不会互相干扰，实现了管理人员对接入点设备的高效接入及管理，同时又实现了用户对于网络资源的快捷访问。在一个具体实施例中，假定新增的第二桥接口br-mgt的IP地址为192.168.3.1；则在新增的DHCP服务器进程中分配的地址池为192.168.3.x；之后，基于该分配的地址池在entables、iptables中设置防火墙规则。这样，在终端连接上管理SSID之后，不管接入点设备是工作在AP桥模式下还是工作在AP路由模式下，终端分配到的IP地址都是192.168.3.x网段中的地址，如分配到的IP地址为192.168.3.8，以此达到了实现方式的统一性。此时，终端发送的数据包在经过以太网防火墙(ebtables)并打上mark(标签)之后，进入到接入点设备中的桥br-mgt中进行处理，根据iptables防火墙中的网络地址转换规则(具体包括iptables中以filter表FORWARD链做规则，在NAT表POSTROUNTING链上进行MASQUERADE地址转换)，限定终端只访问接入点配置页面而不能访问其他网络资源，具体该接入点配置页面为AP页面或云AC页面，实现目的。如图4所示为本发明提供的接入点设备配置装置一种实施方式示意图，从图中可以看出，在该接入点设备配置装置100中包括：终端连接模块110、地址分配模块120以及访问限制模块130，其中，地址分配模块120与终端连接模块110连接，访问限制模块130与地址分配模块120连接。在工作过程中，接入点设备通过终端连接模块110和管理SSID与终端连接；之后，地址分配模块120(具体为DHCP服务器进程)基于预设的地址池为终端分配一IP地址；最后，访问限制模块130根据预设的iptables防火墙规则，限定终端访问接入点配置页面。我们知道，一般来说，接入点设备在启动时，都会创建一个桥接口br-lan(即第一桥接口)。具体，在AP桥模式下，终端连接上普通SSID后自动获取的IP地址是外网提供的可直接访问网络资源。在AP路由模式下，由此时开启了NAT(NetworkAddressTranslation，网络地址转换)功能，终端连接上普通SSID后自动获取的IP地址网段是由接入点设备中DHCP服务器进程提供的，且获取到的IP地址与桥接口br-lan属于同一网段，之后再通过NAT规则实现对访问网络资源的访问。在一个具体实施例中，若创建的桥接口br-lan的IP地址为192.168.200.1，在AP桥模式下，终端连接上普通SSID后自动获取到的外网网段IP地址为10.2.3.1，则终端通过该10.2.3.1直接访问网络资源。在AP路由模式下，终端连接上普通SSID之后，DHCP服务器自动从地址池192.168.200.x中分配一与桥接口br-lan同网段的IP地址192.168.200.6；之后通过NAT转发规则将该IP地址转换成外网IP地址，实现对网络资源的访问。基于此，在本实施方式中，在使用接入点设备配置装置100对接入点设备进行配置之前，如图5所示，在该接入点设备配置装置100中还包括分别与终端连接模块110、访问限制模块130以及地址分配模块120连接的配置模块140，用于设定接入点设备的管理SSID、分配地址池以及设定iptables防火墙规则。具体，在设定过程中，首先，设定接入点设备的管理SSID；之后，添加一地址分配模块120(DHCP服务器进程)并分配一地址池；接着，基于分配的地址池设定iptables防火墙规则。要说明的是，在本实施方式中，为DHCP服务器进程分配的地址池区别于连接普通SSID时DHCP服务器的地址池，但两个地址池都与桥接口br-lan属于同一个网段。如，在一个具体实施例中，桥接口br-lan的IP地址为192.168.200.1，两个地址池都属于192.168.200.x网段，且原有的DHCP服务器分配的地址池的范围为：192.168.200.2～192.168.200.150，新添DHCP服务器分配的地址池的范围为192.168.200.151～192.168.200.255，之后相应的对iptables防火墙规则进行设定。具体，当终端连接上普通SSID时分配到的地址为192.168.200.6，可以访问互联网；当终端连接上管理SSID时分配到的地址为192.168.200.200，被iptables防火墙规则限定只能访问接入点配置页面，以此实现本实施方式的目的。基于上述设置之后，在本实施方式中，不管是在AP桥模式还是在AP路由模式下，终端连接上管理SSID之后，新增的地址分配模块120(DHCP服务器进程)基于预设的地址池为终端分配一与上述桥接口br-lan属于同一网段的IP地址。此时，终端发送的数据包进入到接入点设备中的桥br-lan中进行处理，根据iptables防火墙中的网络地址转换规则(具体包括iptables中以filter表FORWARD链做规则，在NAT表POSTROUNTING链上进行MASQUERADE地址转换)，限定终端只访问接入点配置页面而不能访问其他网络资源，具体该接入点配置页面为AP页面或云AC页面。另外，接入点设备在工作过程中，为了提高管理SSID的安全性能，将管理SSID设置为隐藏模式，这样其他需要访问互联网的用户无法搜索到该管理SSID，管理人员可以通过手动连接管理SSID的方式来登陆接入点配置页面或通过telnet访问串口，进行命令行配置等操作来登陆。对上述实施方式进行改进得到本实施方式，如图6所示，在该接入点设备配置装置100中还包括一与配置模块140连接的桥接口创建模块150，用于创建区别于第一桥接口br-lan的第二桥接口br-mgt，其中，第一桥接口作为普通SSID的通道，第二桥接口br-mgt作为管理SSID的通道。具体，在设定过程中，首先，设定接入点设备的管理SSID；之后，使用桥接口创建模块150创建第二桥接口br-mgt；之后，添加一地址分配模块120(DHCP服务器进程)并分配一地址池；接着，基于分配的地址池设定iptables防火墙规则。可以看出，在本实施方式中，新增了一个第二桥接口br-mgt与第一桥接口br-lan独立开来，并将该第二桥接口br-mgt作为专用于管理SSID的通道，以此用户SSID和管理SSID各自实现了不同的功能的同时相互之间不会互相干扰，实现了管理人员对接入点设备的高效接入及管理，同时又实现了用户对于网络资源的快捷访问。在一个具体实施例中，假定新增的第二桥接口br-mgt的IP地址为192.168.3.1；则在新增的地址分配模块120(DHCP服务器进程)中分配的地址池为192.168.3.x；之后，基于该分配的地址池在entables、iptables中设置防火墙规则。这样，在终端连接上管理SSID之后，不管接入点设备是工作在AP桥模式下还是工作在AP路由模式下，终端分配到的IP地址都是192.168.3.x网段中的地址，如分配到的IP地址为192.168.3.8，以此达到了实现方式的统一性。此时，终端发送的数据包在经过以太网防火墙(ebtables)并打上mark(标签)之后，进入到接入点设备中的桥br-mgt中进行处理，根据iptables防火墙中的网络地址转换规则(具体包括iptables中以filter表FORWARD链做规则，在NAT表POSTROUNTING链上进行MASQUERADE地址转换)，限定终端只访问接入点配置页面而不能访问其他网络资源，具体该接入点配置页面为AP页面或云AC页面，实现目的。本发明还提供了一种接入点设备，该接入点设备中包括上述接入点设备配置装置100。在接入点设备中预留管理SSID口，供管理人员配置接入点设备时使用。当需要对接入点设备进行设置时，管理人员直接通过连接管理SSID就能登录接入点配置页面进行配置，实现了对接入点设备更加方便和高效的管理。另外，在接入点设备中创建了各管理SSID的专用通道，以此用户SSID和管理SSID各自实现了不同的功能的同时相互之间不会互相干扰，实现了管理人员对接入点设备的高效管理。应当说明的是，上述实施例均可根据需要自由组合。以上所述仅是本发明的优选实施方式，应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。当前第1页1 2 3