本發(fā)明涉及一種包轉(zhuǎn)發(fā)芯片中多級ACL的實(shí)現(xiàn)技術(shù),尤其是涉及一種在包轉(zhuǎn)發(fā)芯片中實(shí)現(xiàn)WLAN多級ACL的芯片實(shí)現(xiàn)方法。
背景技術(shù):
AC(Access Controller,無線控制器)設(shè)備和AP(Access Point,無線接入點(diǎn))設(shè)備之間將使用CAPWAP(Controlling and Provisioning of Wireless Access Point,無線接入點(diǎn)控制與供應(yīng))隧道,CAPWAP隧道是AC設(shè)備和AP設(shè)備之間的通信控制協(xié)議,定義了AC設(shè)備和AP設(shè)備間如何通信,為實(shí)現(xiàn)AC設(shè)備和AP設(shè)備之間的互通性提供了一個(gè)通用的封裝和傳輸機(jī)制。無線數(shù)據(jù)幀,原樣或經(jīng)過802.11到802.3格式的轉(zhuǎn)換后被封入CAPWAP隧道中送往AC設(shè)備。
為保證CAPWAP隧道的安全性,可以使用DTLS(Datagram Transport Layer Security,數(shù)據(jù)傳輸層安全)協(xié)議保護(hù)CAPWAP隧道。DTLS協(xié)議是CAPWAP隧道使用的加密協(xié)議,該DTLS協(xié)議參考了TCP(Transmission Control Protocol,傳輸控制協(xié)議)的TLS(Transport Layer Security,傳輸層安全)協(xié)議,通過在CAPWAP報(bào)文中添加DTLS控制字段,以對CAPWAP報(bào)文進(jìn)行加密控制。
現(xiàn)有一般通過使用軟件方法(如CPU)進(jìn)行CAPWAP控制通道的DTLS加解密。但是這個(gè)過程會大量占用CPU資源,在高帶寬場景下,隧道報(bào)文的轉(zhuǎn)發(fā)和加解密性能受限于CPU性能。
也有采用交換路由芯片實(shí)現(xiàn)CAPWAP DTLS報(bào)文的封裝和解封裝,但是該方案僅僅實(shí)現(xiàn)了CAPWAP數(shù)據(jù)通道的芯片級加解密,未明確ACL(Access Control List,訪問控制列表)的支持方式。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的目的在于克服現(xiàn)有技術(shù)的缺陷,提供一種WLAN系統(tǒng)中多級ACL的芯片實(shí)現(xiàn)方法,以支持芯片在端口出入方向上均可并行開啟多次ACL查找。
為實(shí)現(xiàn)上述目的,本發(fā)明提出如下技術(shù)方案:一種WLAN系統(tǒng)中多級ACL的芯片實(shí)現(xiàn)方法,包括:
S1,報(bào)文進(jìn)入芯片后查表得到其內(nèi)部轉(zhuǎn)發(fā)出口和編輯動作,所述編輯動作為對報(bào)文進(jìn)行CAPWAP加封裝,且所述編輯動作里還出一個(gè)與CAPWAP隧道一一對應(yīng)的邏輯出端口,使用所述邏輯出端口和內(nèi)層報(bào)文的報(bào)文特征在所述內(nèi)部轉(zhuǎn)發(fā)出口上開啟一次ACL查找;
S2,同時(shí),所述編輯動作里還出一個(gè)與出口AP上的SSID(無線網(wǎng)絡(luò)的名稱或標(biāo)識)一一對應(yīng)的出SSID,使用所述出SSID和所述內(nèi)層報(bào)文的報(bào)文特征在所述內(nèi)部轉(zhuǎn)發(fā)出口上開啟再一次ACL查找;
S3,報(bào)文按所述編輯動作加完CAPWAP封裝回到芯片入方向后查表,得到轉(zhuǎn)發(fā)出口為面板口,使用外層報(bào)文的報(bào)文特征在所述面板口上開啟ACL查找。
優(yōu)選地,步驟S1中,報(bào)文進(jìn)入芯片后查轉(zhuǎn)發(fā)表或路由表得到其內(nèi)部轉(zhuǎn)發(fā)出口和編輯動作。
優(yōu)選地,使用報(bào)文的MACDA(目的MAC地址)和VLAN(Virtual Local Area Network,虛擬局域網(wǎng))查找轉(zhuǎn)發(fā)表,或使用IPDA查找路由表。
優(yōu)選地,步驟S1中,對報(bào)文進(jìn)行CAPWAP加封裝的編輯動作為:加CAPWAP頭并加上外層IP頭。
優(yōu)選地,所述內(nèi)層報(bào)文的報(bào)文特征為內(nèi)層報(bào)文的IP五元組。這里的報(bào)文的IP五元組是指報(bào)文的源IP地址,源端口、目的IP地址、目的端口和傳輸層協(xié)議。
優(yōu)選地,步驟S3中,報(bào)文回到芯片入方向后查路由表。
優(yōu)選地,步驟S3中,報(bào)文查路由表使用外層報(bào)文的報(bào)文特征為外層報(bào)文的IPDA。
本發(fā)明還提供了另外一種技術(shù)方案:一種WLAN系統(tǒng)中多級ACL的芯片實(shí)現(xiàn)方法,包括:
S1′,報(bào)文從面板口進(jìn)入芯片后,使用外層報(bào)文的報(bào)文特征在所述面板口上開啟ACL查找;
S2′,解密后的報(bào)文或明文查表,得到一個(gè)與CAPWAP隧道一一對應(yīng)的邏輯入端口,所述邏輯入端口隨解封裝后的內(nèi)層報(bào)文環(huán)回到芯片入方向;
S3′,芯片入方向?qū)夥庋b后的內(nèi)層報(bào)文使用報(bào)文特征查找終端安全檢查表,同時(shí)在查找得到的條目中給出一個(gè)源SSID,使用所述源SSID和報(bào)文特征在芯片內(nèi)部環(huán)回口的入方向上開啟一次ACL查找;使用所述邏輯入端口加所述報(bào)文特征在芯片內(nèi)部環(huán)回口的入方向上開啟再一次ACL查找。
優(yōu)選地,步驟S1′中,使用外層報(bào)文的IPSA在所述面板口上開啟ACL查找。
優(yōu)選地,步驟S2′中,解密后的報(bào)文或明文查CAPWAP隧道表。
優(yōu)選地,步驟S3′中,芯片入方向?qū)?nèi)層報(bào)文使用MACSA查找終端安全檢查表。
優(yōu)選地,步驟S3′中,使用所述源SSID/邏輯入端口加內(nèi)層報(bào)文的IP五元組在芯片內(nèi)部環(huán)回口的入方向上開啟一次ACL查找。
與現(xiàn)有技術(shù)相比,本發(fā)明在芯片支持端口ACL的基礎(chǔ)上,額外增加了兩級ACL,分別用于CAPWAP隧道和SSID級別的ACL出入方向控制,使得ACL業(yè)務(wù)部署更靈活。
附圖說明
圖1是本發(fā)明WLAN系統(tǒng)中多級ACL的芯片實(shí)現(xiàn)方法(有線到CAPWAP方向)的流程示意圖;
圖2是本發(fā)明WLAN系統(tǒng)中多級ACL的芯片實(shí)現(xiàn)方法(有線到CAPWAP方向)的芯片原理示意圖;
圖3是本發(fā)明WLAN系統(tǒng)中多級ACL的芯片實(shí)現(xiàn)方法(CAPWAP方向到有線)的流程示意圖;
圖4是本發(fā)明WLAN系統(tǒng)中多級ACL的芯片實(shí)現(xiàn)方法(CAPWAP方向到有線)的芯片原理示意圖。
具體實(shí)施方式
下面將結(jié)合本發(fā)明的附圖,對本發(fā)明實(shí)施例的技術(shù)方案進(jìn)行清楚、完整的描述。
本發(fā)明提出了一種WLAN系統(tǒng)中多級ACL的芯片實(shí)現(xiàn)方法,該方案在芯片支持端口ACL的基礎(chǔ)上,額外增加了兩級ACL,分別用于CAPWAP Tunnel(隧道)和SSID級別的ACL出入方向控制,使得ACL業(yè)務(wù)部署更靈活。
其中,本發(fā)明中的包轉(zhuǎn)發(fā)芯片包括入方向處理引擎(IPE)、存儲轉(zhuǎn)發(fā)模塊(BSR)、出方向處理引擎(EPE)、WLAN處理引擎(WLAN Engine)。圖2中,報(bào)文①為以太網(wǎng)報(bào)文,報(bào)文②為編輯過的含CAPWAP頭的中間報(bào)文,報(bào)文③為DTLS加密后的CAPWAP報(bào)文,報(bào)文④為轉(zhuǎn)發(fā)編輯后的CAPWAP報(bào)文,C為CAPWAP加封裝加密通道。圖4中,報(bào)文①為DTLS加密的CAPWAP報(bào)文,報(bào)文②為明文的CAPWAP報(bào)文,報(bào)文③為解CAPWAP封裝后的內(nèi)層報(bào)文,報(bào)文④為轉(zhuǎn)發(fā)編輯后的內(nèi)層報(bào)文,A為解密通道,B為解封裝通道。
下面分別具體介紹報(bào)文有線到CAPWAP方向及CAPWAP方到有線方向本發(fā)明的具體實(shí)現(xiàn)原理。
結(jié)合圖1、圖2所示,有線到CAPWAP方向上,本發(fā)明所揭示的一種WLAN系統(tǒng)中多級ACL的芯片實(shí)現(xiàn)方法,具體包括以下步驟:
S1,報(bào)文①進(jìn)入芯片后查表得到其內(nèi)部轉(zhuǎn)發(fā)出口和編輯動作,編輯動作為對報(bào)文進(jìn)行CAPWAP加封裝,且編輯動作里還出一個(gè)與CAPWAP隧道一一對應(yīng)的邏輯出端口,使用邏輯出端口和內(nèi)層報(bào)文的報(bào)文特征在內(nèi)部轉(zhuǎn)發(fā)出口上開啟一次ACL查找。
具體地,報(bào)文①進(jìn)入芯片后使用報(bào)文的MACDA和VLAN查找轉(zhuǎn)發(fā)表(FDB表),或使用IPDA查找路由表查路由表,得到報(bào)文的轉(zhuǎn)發(fā)出口和相應(yīng)的報(bào)文編輯動作,其中轉(zhuǎn)發(fā)出口為芯片的內(nèi)部轉(zhuǎn)發(fā)出口,指向CAPWAP處理引擎(即芯片的出方向處理處理引擎,EPE),編輯動作為加CAPWAP頭并加上外層IP頭(即完成對報(bào)文的CAPWAP加封裝)。報(bào)文①進(jìn)入CAPWAP處理引擎,視情況進(jìn)行分片及加密操作。
在此基礎(chǔ)上,本發(fā)明的編輯動作里會出一個(gè)邏輯出端口(logicDestPort),和CAPWAP隧道一一對應(yīng),使用“邏輯出端口+內(nèi)層報(bào)文的IP五元組”在內(nèi)部轉(zhuǎn)發(fā)出口上開啟一次ACL查找,實(shí)現(xiàn)在CAPWAP隧道層面對內(nèi)層業(yè)務(wù)進(jìn)行出方向ACL控制。這里的報(bào)文的IP五元組是指報(bào)文的源IP地址,源端口、目的IP地址、目的端口和傳輸層協(xié)議。
S2,同時(shí),編輯動作里還出一個(gè)與出口AP上的SSID一一對應(yīng)的出SSID,使用出SSID和內(nèi)層報(bào)文的報(bào)文特征在內(nèi)部轉(zhuǎn)發(fā)出口上開啟再一次ACL查找。
即編輯動作里除了增加邏輯出端口,還增加一個(gè)destSSID(即出SSID),這一步驟在SSID層面對內(nèi)層業(yè)務(wù)進(jìn)行出方向ACL控制。
S3,報(bào)文③按編輯動作加完CAPWAP封裝回到芯片入方向后查表,得到轉(zhuǎn)發(fā)出口為面板口,使用外層報(bào)文的報(bào)文特征在面板口上開啟ACL查找。
具體地,報(bào)文①在加完CAPWAP封裝后,環(huán)回給芯片入方向,回到芯片入方向后,按使用外層IP頭中的IPDA查找路由表進(jìn)行轉(zhuǎn)發(fā),得到轉(zhuǎn)發(fā)出口為面板口,可在面板口出方向上開啟ACL功能,按外層報(bào)文的IPDA,在AP層面對數(shù)據(jù)進(jìn)行出方向ACL控制;編輯動作為路由,報(bào)文④會自動加上外層二層頭。
結(jié)合圖3和圖4所示,CAPWAP到有線方向上,本發(fā)明所揭示的一種WLAN系統(tǒng)中多級ACL的芯片實(shí)現(xiàn)方法,具體包括以下步驟:
S1′,報(bào)文從面板口進(jìn)入芯片后,使用外層報(bào)文的報(bào)文特征在面板口上開啟ACL查找;
具體地,報(bào)文按外層報(bào)文的IPSA查路由表,得到轉(zhuǎn)發(fā)出口為面板口,從芯片的面板口進(jìn)入時(shí),在端口入方向開啟ACL功能,在AP層面對數(shù)據(jù)進(jìn)行入方向ACL控制。
S2′,解密后的報(bào)文或明文查表,得到一個(gè)與CAPWAP隧道一一對應(yīng)的邏輯入端口,所述邏輯入端口隨解封裝后的內(nèi)層報(bào)文環(huán)回到芯片入方向;
具體地,若報(bào)文為密文,則報(bào)文進(jìn)入CAPWAP處理引擎完成解密后,環(huán)回給芯片入方向,報(bào)文為明文,則直接送給芯片入方向。在芯片入方向,明文或解密后的明文CAPWAP,使用IPDA+IPSA查找CAPWAP隧道表,會得到一個(gè)邏輯源端口(logicSrcPort),和CAPWAP隧道一一對應(yīng),該值會隨報(bào)文環(huán)回到芯片入方向。
同時(shí),CAPWAP隧道表結(jié)果中會得到轉(zhuǎn)發(fā)出口為內(nèi)部口,指向CAPWAP處理引擎,在CAPWAP處理引擎內(nèi),即在芯片出方向上進(jìn)行報(bào)文砍CAPWAP隧道封裝,若內(nèi)層報(bào)文為802.11格式,在此處轉(zhuǎn)換為802.3格式;若為分片,則在此處進(jìn)行重組。CAPWAP處理引擎把砍完CAPWAP封裝(或者并重組完)的內(nèi)層報(bào)文直接環(huán)回給芯片入方向。
S3′,芯片入方向?qū)夥庋b后的內(nèi)層報(bào)文使用報(bào)文特征查找終端安全檢查表,同時(shí)在查找得到的條目中給出一個(gè)源SSID,使用所述源SSID和報(bào)文特征在芯片內(nèi)部環(huán)回口的入方向上開啟一次ACL查找;使用所述邏輯入端口加所述報(bào)文特征在芯片內(nèi)部環(huán)回口的入方向上開啟再一次ACL查找。
具體地,報(bào)文砍完CAPWAP封裝環(huán)回后,芯片入方向?qū)碜詿o線的內(nèi)層報(bào)文使用MACSA進(jìn)行查找,用以安全檢查。與此同時(shí),每個(gè)授權(quán)通過的終端對應(yīng)的MACSA條目中(即對于合法報(bào)文),出一個(gè)源SSID(srcSSID),用以標(biāo)識源SSID。內(nèi)部環(huán)回口的入方向上開啟一次ACL查找,使用“srcSSID+內(nèi)層報(bào)文的IP五元組”在SSID層面對內(nèi)層業(yè)務(wù)進(jìn)行入方向ACL控制。
內(nèi)部環(huán)回口的入方向上開啟另一次ACL查找,使用“l(fā)ogicSrcPort+內(nèi)層報(bào)文的IP五元組”在CAPWAP隧道層面對內(nèi)層業(yè)務(wù)進(jìn)行入方向ACL控制。
本發(fā)明在加封裝編輯動作里出和CAPWAP隧道一一對應(yīng)邏輯出端口,及和AP上的SSID一一對應(yīng)的出SSID。同時(shí)從CAPWAP隧道條目中出logicSrcPort并帶回到砍完CAPWAP封裝之后,及從終端安全檢查表中出SSID,從而支持芯片端口出入方向上均可并行開啟CAPWAP隧道和SSID級別的多次ACL查找。
本發(fā)明的技術(shù)內(nèi)容及技術(shù)特征已揭示如上,然而熟悉本領(lǐng)域的技術(shù)人員仍可能基于本發(fā)明的教示及揭示而作種種不背離本發(fā)明精神的替換及修飾,因此,本發(fā)明保護(hù)范圍應(yīng)不限于實(shí)施例所揭示的內(nèi)容,而應(yīng)包括各種不背離本發(fā)明的替換及修飾,并為本專利申請權(quán)利要求所涵蓋。