終端準入方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提出了一種終端準入方法和系統(tǒng)�����,所述方法包括:a)獲取交換機各個端口的接線狀態(tài)��,該接線狀態(tài)包括連接狀態(tài)和未連接狀態(tài)�����;b)識別所述接線狀態(tài)���,當識別到所述交換機的一個端口的接線狀態(tài)由未連接狀態(tài)變成連接狀態(tài)時�,使該端口連接的終端獲得訪問訪客VLAN的權限����;c)對訪問所述訪客VLAN的終端進行身份認證,如果所述終端通過所述身份認證��,則使所述終端獲得訪問指定VLAN的權限����,如果所述終端未通過所述身份認證,則使所述終端僅獲得訪問所述訪客VLAN的權限�。利用本發(fā)明提供的終端準入方法和系統(tǒng),可以較好地實現(xiàn)終端準入控制����,實時簡單,成本低��。
【專利說明】終端準入方法及系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及一種終端準入方法及系統(tǒng)���。
【背景技術】
[0002]網(wǎng)絡準入控制能夠在用戶進行網(wǎng)絡訪問之前確保用戶的身份是信任關系�����,只有可信賴的計算機才能接入網(wǎng)絡���,從而防止病毒和蠕蟲等新興黑客技術對企業(yè)安全造成危害����。通過準入控制�����,客戶可以只允許合法的�����、值得信任的終端設備接入網(wǎng)絡���,而不允許其它設備接入�����。
[0003]目前常見的準入技術包括以下幾種:802.1x準入�、DHCP準入�����、網(wǎng)關型準入和ARP準入�����。
[0004]802.1x的準入控制的優(yōu)點是在交換機支持802.1x協(xié)議的時候��,802.1x能夠真正做到了對網(wǎng)絡邊界的保護���。缺點是不兼容老舊交換機��,必須重新更換新的交換機�����;同時�����,交換機下接不啟用802.1x功能的交換機時�����,無法對終端進行準入控制��。
[0005]DHCP的準入控制的優(yōu)點是兼容老舊交換機����。缺點是不如802.1x協(xié)議的控制力度強。
[0006]網(wǎng)關型準入控制不是嚴格意義上的準入控制�����。網(wǎng)關型準入控制沒有對終端接入網(wǎng)絡進行控制���,而只是對終端出外網(wǎng)進行了控制���。同時,網(wǎng)關型準入控制會造成出口宕掉的瓶頸效應��。
[0007]ARP準入控制是通過ARP欺騙實現(xiàn)的����。ARP欺騙實際上是一種變相病毒。容易造成網(wǎng)絡堵塞�����。由于越來越多的終端安裝的ARP防火墻���,ARP準入控制在遇到這種情況下��,則不能起作用�����。
[0008]如上所述�,目前常見的準入技術部署實施困難�����,有些需要在終端計算機上安裝定制的準入軟件以及需要對終端進行特定的配置����,有些需要特定類型的交換機或網(wǎng)關設備,有些則準入控制力度不強或者在某些情況下準入控制不起作用�。并且,現(xiàn)有的準入系統(tǒng)在實際實施過程中����,通常實施周期長,成本高�����。
【發(fā)明內容】
[0009]針對現(xiàn)有技術中存在的上述問題��,本發(fā)明提出了一種終端準入方法和系統(tǒng),以用于不需要特定類型的交換機或網(wǎng)關設備����、也不需要在終端上安裝準入軟件的情況下,實現(xiàn)低成本��、控制力度強的準入控制����。
[0010]本發(fā)明提供了一種終端準入方法,其中���,包括以下步驟:
[0011]a)獲取交換機各個端口的接線狀態(tài)���,該接線狀態(tài)包括連接狀態(tài)和未連接狀態(tài);
[0012]b)識別所述接線狀態(tài)���,當識別到所述交換機的一個端口的接線狀態(tài)由未連接狀態(tài)變成連接狀態(tài)時�,使該端口連接的終端獲得訪問訪客VLAN的權限����;
[0013]c)對訪問所述訪客VLAN的終端進行身份認證,如果所述終端通過所述身份認證�����,則使所述終端獲得訪問指定VLAN的權限,如果所述終端未通過所述身份認證�����,則使所述終端僅獲得訪問所述訪客VLAN的權限�。
[0014]同時�����,本發(fā)明還提供了一種終端準入系統(tǒng)�����,其中���,該終端準入系統(tǒng)包括:
[0015]狀態(tài)獲取模塊����,用于獲取交換機各個端口的接線狀態(tài)�����,該接線狀態(tài)包括連接狀態(tài)和未連接狀態(tài);
[0016]狀態(tài)識別模塊�,用于識別所述接線狀態(tài),當識別到所述交換機的一個端口的接線狀態(tài)由未連接狀態(tài)變成連接狀態(tài)時��,使該端口連接的終端獲得訪問訪客VLAN的權限����;
[0017]身份認證模塊,用于對訪問所述訪客VLAN的終端進行身份認證��,如果所述終端通過所述身份認證����,則使所述終端獲得訪問指定VLAN的權限,如果所述終端未通過所述身份認證��,則使所述終端僅獲得訪問所述訪客VLAN的權限���。
[0018]本發(fā)明提供的終端準入方法和系統(tǒng)����,具備良好的網(wǎng)絡適應性���,不需要特定型號的交換機�����,只要交換機具備常見的網(wǎng)管功能和VLAN支持即可�����,同時不需要在終端上安裝準入軟件���,也不需要對終端進行任何配置�����,就可以實現(xiàn)網(wǎng)絡準入功能,準入部署實施簡單方便���。利用本發(fā)明提供的終端準入方法和系統(tǒng)�����,可以有效地實現(xiàn)對終端的準入控制���,實施周期短,成本低�����。
【專利附圖】
【附圖說明】
[0019]圖1是根據(jù)本發(fā)明的終端準入方法的流程圖;
[0020]圖2是根據(jù)本發(fā)明的終端準入系統(tǒng)的示意結構圖���;
[0021]圖3是根據(jù)本發(fā)明的終端準入系統(tǒng)與交換機和終端計算機之間的連接示意圖�����?���!揪唧w實施方式】
[0022]下面結合附圖����,詳細描述本發(fā)明的實施方式。
[0023]圖1是根據(jù)本發(fā)明的終端準入方法的流程圖�����。如圖1所示��,本發(fā)明提供了一種終端準入方法�,其中,包括以下步驟:
[0024]a)獲取交換機各個端口的接線狀態(tài),該接線狀態(tài)包括連接狀態(tài)和未連接狀態(tài)�����;
[0025]b)識別所述接線狀態(tài)����,當識別到所述交換機的一個端口的接線狀態(tài)由未連接狀態(tài)變成連接狀態(tài)時,使該端口連接的終端獲得訪問訪客VLAN的權限���;
[0026]c)對訪問所述訪客VLAN的終端進行身份認證��,如果所述終端通過所述身份認證����,則使所述終端獲得訪問指定VLAN的權限���,如果所述終端未通過所述身份認證,則使所述終端僅獲得訪問所述訪客VLAN的權限����。
[0027]在步驟a)中,交換機的各個端口可以連接各個終端�����。交換機的接線狀態(tài)可以包括連接狀態(tài)和未連接狀態(tài),連接狀態(tài)表示該端口連接的終端已加電啟動����,要接入到網(wǎng)絡中,而未連接狀態(tài)表示該端口連接的終端未加電啟動����,不需要接入到網(wǎng)絡中。當有新的終端加電啟動要接入到網(wǎng)絡中時�����,與該終端連接的交換機的端口的接線狀態(tài)就會從未連接狀態(tài)變?yōu)檫B接狀態(tài)��,類似的�,當接入到網(wǎng)絡中的終端斷電關閉不再需要接入到網(wǎng)絡中時,與該終端連接的交換機的端口的接線狀態(tài)就會從連接狀態(tài)變?yōu)槲催B接狀態(tài)�。
[0028]根據(jù)一種實施方式,可以通過接收所述交換機的snmptrp通知來獲取所述交換機各個端口的接線狀態(tài)���。根據(jù)另一種實施方式��,可以通過ssh�、telnet或snmp來獲取所述交換機各個端口的接線狀態(tài)。[0029]在步驟b)中����,識別交換機的端口的接線狀態(tài),當識別到交換機的一個端口的接線狀態(tài)由未連接狀態(tài)變成連接狀態(tài)時�����,表示該端口連接的終端已上電啟動����,要接入到網(wǎng)絡,這時��,使得該終端獲得訪問guestVLAN (訪客VLAN)的權限����。通常,guest VLAN上的資源非常有限�����,而僅具有訪問guest VLAN的權限的終端只能訪問guest VLAN內的有限資源,不能訪問其他指定VLAN中的資源���。
[0030]通常,要確定一個ID值作為guest VLAN的ID值。這樣���,可以通過將所述端口的VLAN ID的ID值配置為所述訪客VLAN的ID值��,使該端口連接的終端獲得訪問訪客VLAN的權限�����。
[0031]在所述步驟c)中�,獲得訪問訪客VLAN的權限的終端可以登陸進入到身份認證界面進行身份認證��,在身份認證界面中需要輸入諸如用戶名和密碼等信息����,以進行身份認證。當所述終端通過所述身份認證時����,就可以使所述終端獲得訪問指定VLAN的權限,從而可以訪問該指定VLAN中的資源���。當所述終端未通過所述身份認證時��,終端就只能停留在guestVLAN中����,不能訪問其他未授權的VLAN。
[0032]根據(jù)一種實施方式����,可以通過將該終端所連接到的交換機的端口的VLAN ID的ID值配置為所述指定VLAN的ID值,以允許所述終端訪問指定VLAN�����。
[0033]利用本發(fā)明提供的終端準入方法�����,不需要特定型號的交換機�,只要交換機具備常見的網(wǎng)管功能和VLAN支持即可,同時不需要在終端上安裝準入軟件�����,也不需要對終端進行任何配置���,就可以實現(xiàn)網(wǎng)絡準入功能��。
[0034]同時�,本發(fā)明還提供了 一種端準入系統(tǒng),參考圖2和圖3���,圖2是根據(jù)本發(fā)明的終端準入系統(tǒng)的示意結構圖;圖3是根據(jù)本發(fā)明的終端準入系統(tǒng)與交換機和終端計算機之間的連接示意圖�����。
[0035]如圖2所示���,根據(jù)本發(fā)明的終端準入系統(tǒng)包括:
[0036]狀態(tài)獲取模塊����,用于獲取交換機各個端口的接線狀態(tài)���,該接線狀態(tài)包括連接狀態(tài)和未連接狀態(tài)���;
[0037]狀態(tài)識別模塊,用于識別所述接線狀態(tài)�����,當識別到所述交換機的一個端口的接線狀態(tài)由未連接狀態(tài)變成連接狀態(tài)時�,使該端口連接的終端獲得訪問訪客VLAN的權限�����;
[0038]身份認證模塊��,用于對訪問所述訪客VLAN的終端進行身份認證��,如果所述終端通過所述身份認證����,則允許所述終端訪問指定VLAN��,如果所述終端未通過所述身份認證��,則使所述終端僅能訪問訪客VLAN����。
[0039]其中,所述狀態(tài)獲取模塊用于獲取交換機各個端口的接線狀態(tài)�。交換機的接線狀態(tài)可以包括連接狀態(tài)和未連接狀態(tài),連接狀態(tài)表示該端口連接的終端已加電啟動�����,要接入到網(wǎng)絡中,而未連接狀態(tài)表示該端口連接的終端未加電啟動����,不需要接入到網(wǎng)絡中。
[0040]根據(jù)一種實施方式�����,所述狀態(tài)獲取模塊可以通過接收所述交換機的snmptrp通知來獲取所述交換機各個端口的接線狀態(tài)���。根據(jù)另一種實施方式,所述狀態(tài)獲取模塊可以通過ssh�、telnet或snmp來獲取所述交換機各個端口的接線狀態(tài)。
[0041]所述狀態(tài)識別模塊識別所述接線狀態(tài)���,當識別到所述交換機的一個端口的接線狀態(tài)由未連接狀態(tài)變成連接狀態(tài)時�����,表示該端口連接的終端已上電啟動����,要接入到網(wǎng)絡����,這時�����,可以使該端口連接的終端獲得訪問guest VLAN的權限�����。通常,guest VLAN上的資源非常有限����,而僅具有訪問guest VLAN的權限的終端只能訪問guest VLAN內的有限資源,不能訪問其他指定VLAN中的資源����。
[0042]所述狀態(tài)識別模塊可以通過將交換機的所述端口的VLAN ID的ID值配置為所述訪客VLAN的ID值,使該端口連接的終端獲得訪問訪客VLAN的權限�����。
[0043]所述身份認證模塊用于對訪問所述guest VLAN的終端進行身份認證�����。例如��,所述身份認證模塊向獲得訪問訪客VLAN的權限的終端提供身份認證界面,在身份認證界面中需要所述終端輸入諸如用戶名和密碼等信息�,根據(jù)該用戶名和密碼等信息對所述終端進行身份認證。當終端通過所述身份認證時�����,身份認證模塊就可以使所述終端獲得訪問指定VLAN的權限���,從而可以訪問該指定VLAN中的資源�。當所述終端未通過所述身份認證時����,身份認證模塊就使得終端就只能停留在guest VLAN中��,不能訪問其他未授權的VLAN��。
[0044]根據(jù)一種實施方式�����,所述身份認證模塊可以在所述終端通過所述身份認證時�,將該終端連接的交換機的端口的VLAN ID的ID值配置為所述指定VLAN的ID值,以允許所述終端訪問指定VLAN�。
[0045]利用本發(fā)明提供的終端準入系統(tǒng),不需要特定型號的交換機,也不需要在終端上安裝準入軟件就可以實現(xiàn)低成本�、控制力度強的準入控制。
【權利要求】
1.一種終端準入方法���,其中����,包括以下步驟: a)獲取交換機各個端口的接線狀態(tài)�,該接線狀態(tài)包括連接狀態(tài)和未連接狀態(tài); b)識別所述接線狀態(tài)��,當識別到所述交換機的一個端口的接線狀態(tài)由未連接狀態(tài)變成連接狀態(tài)時��,使該端口連接的終端獲得訪問訪客VLAN的權限���; c)對訪問所述訪客VLAN的終端進行身份認證�����,如果所述終端通過所述身份認證���,則使所述終端獲得訪問指定VLAN的權限,如果所述終端未通過所述身份認證�,則使所述終端僅獲得訪問所述訪客VLAN的權限���。
2.根據(jù)權利要求1所述的終端準入方法,其中�,在所述步驟a)中,通過接收所述交換機的snmptrp通知來獲取所述交換機各個端口的接線狀態(tài)�。
3.根據(jù)權利要求1所述的終端準入方法,其中����,在所述步驟a)中,通過ssKtelnet或snmp來獲取所述交換機各個端口的接線狀態(tài)����。
4.根據(jù)權利要求1所述的終端準入方法,其中���,在所述步驟b)中,通過將所述端口的VLAN ID的ID值配置為所述訪客VLAN的ID值�。
5.根據(jù)權利要求4所述的終端準入方法,其中�,在所述步驟c)中,如果所述終端通過所述身份認證�����,將所述端口的VLAN ID的ID值配置為所述指定VLAN的ID值,以允許所述終端訪問指定VLAN����。
6.一種終端準入系統(tǒng),其中���,該終端準入系統(tǒng)包括: 狀態(tài)獲取模塊�����,用于獲取交換機各個端口的接線狀態(tài)����,該接線狀態(tài)包括連接狀態(tài)和未連接狀態(tài)����; 狀態(tài)識別模塊,用于識別所述接線狀態(tài)���,當識別到所述交換機的一個端口的接線狀態(tài)由未連接狀態(tài)變成連接狀態(tài)時�,使該端口連接的終端獲得訪問訪客VLAN的權限���; 身份認證模塊����,用于對訪問所述訪客VLAN的終端進行身份認證,如果所述終端通過所述身份認證�����,則使所述終端獲得訪問指定VLAN的權限�,如果所述終端未通過所述身份認證,則使所述終端僅獲得訪問所述訪客VLAN的權限��。
7.根據(jù)權利要求6所述的終端準入系統(tǒng)����,其中, 所述狀態(tài)獲取模塊通過接收所述交換機的snmptrp獲取所述交換機各個端口的接線狀態(tài)����。
8.根據(jù)權利要求6所述的終端準入系統(tǒng),其中�����, 所述狀態(tài)獲取模塊通過ssh�����、telnet或snmp來獲取所述交換機各個端口的接線狀態(tài)��。
9.根據(jù)權利要求8所述的終端準入系統(tǒng)���,其中��, 所述狀態(tài)識別模塊通過將所述端口的VLAN ID的ID值配置為所述訪客VLAN的ID值��。
10.根據(jù)權利要求6所述的終端準入系統(tǒng)����,其中�����, 所述身份認證模塊在所述終端通過所述身份認證時�,將所述端口的VLAN ID的ID值配置為所述指定VLAN的ID值,以允許所述終端訪問指定VLAN�。
【文檔編號】H04L12/46GK103795708SQ201310741892
【公開日】2014年5月14日 申請日期:2013年12月27日 優(yōu)先權日:2013年12月27日
【發(fā)明者】張鳳羽 申請人:北京天融信軟件有限公司, 北京天融信網(wǎng)絡安全技術有限公司, 北京天融信科技有限公司