一种端点准入防御中的报文控制方法及接入设备的制作方法

专利名称：一种端点准入防御中的报文控制方法及接入设备的制作方法
技术领域：
本发明属于^:据通信技术领域，尤其涉及一种端点准入防御(Endpoint Admission Defense, EAD)中的报文控制方法及接入设备。
背景技术：
EAD的基本功能是通过安全客户端、安全联动设备(如交换机、路由器)、 安全策略服务器以及防病毒服务器、补丁服务器的联动实现的，其基本原理如 图1所示
(1 )用户终端试图接入网络时，首先通过安全客户端由安全联动设备(接 入设备)和安全策略服务器配合进行用户身份认证，非法用户将被拒绝接入网 络；
(2) 安全策略服务器对合法用户下发安全策略，并要求合法用户进行安 全状态认i正；
(3) 安全客户端对合法用户的补丁版本、病毒库版本等进行检测，并将 安全策略检查的结果上报安全策略服务器；
(4) 安全策略服务器根据检查结果控制用户的访问权限 安全状态不合格的用户将被安全联动设备隔离到隔离区，进入隔离区的用
户只能访问指定的资源，例如，补丁服务器、病毒服务器、内部的FTP服务 器等(通过访问控制列表(Access Control List, ACL )来控制)，并通过访问 这些指定的资源来进行系统的修复和补丁、病毒库的升级，直到安全状态合格；
联动设备提供基于身份的网络服务，此时，用户能够访问大部分网络资源(通 过ACL来控制)。
从EAD的主要功能和基本原理可以看出，EAD将终端防病毒、补丁修复 等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为 一个联 动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御，变单点防御为全面防御，变分散管理为集中策 略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
当前EAD的实现方式，对用户的访问控制都是通过在接入端口下发大量
的ACL来实现。例如，在某个实际应用场景下，对于每个处于隔离区的用户
终端，需要在该用户终端的接入端口下发如下的12条ACL来进行访问控制 acl number 3099 rule 0 deny ip
rule 1 permit udp destination-port eq bootps rule 2 permit udp destination-port eq bootpc rule 3 permit ip destination 10.153.0.124 0 rule 4 permit ip destination 10.153.0.123 0 rule 5 permit ip destination 10.154.240.11 0 rule 6 permit ip destination 10.72.65.36 0 rule 7 permit ip destination 10.153.0.62 0 rule 8 permit ip destination 10.153.0.60 0 rule 9 permit ip destination 10.153.0.61 0 rule 10 permit ip destination 10.72.66.36 0 rule 11 permit ip destination 10.72.66.37 0
可见，目前的实现过于依赖ACL。在复杂的应用环境下，每个用户上线 后，接入设备都要下发多条ACL， 一般可以高达10-15条。而接入设备的硬件 芯片所能支持的ACL资源有限，在每个用户都需要接入设备下发多条ACL时， 其能够接入的用户数将大大减少。

发明内容
本发明所要解决的技术问题是提供一种端点准入防御中的报文控制方法 及接入设备，以减少接入设备下发ACL的数量，进而增加接入设备对用户终 端的接入能力。
为解决上述技术问题，本发明提供技术方案如下
一种端点准入防御中的报文控制方法，包括如下步骤
在出端口上下发隔离类ACL和安全类ACL，所述隔离类ACL的匹配^见 则为判断上行报文是否携带第一标记，以及，该上行报文的目的地址是否为 允许的目的地址；所述安全类ACL的匹配^见则为判断上行报文是否携带第二标记，以及，该上行报文的目的地址是否为允许的目的地址；
在入端口上为未通过安全状态认证的用户终端下发第一类型ACL,为通 过安全状态认证的用户终端下发第二类型ACL,所述第一类型ACL和第二类 型ACL的匹配规则为判断上行报文的源地址是否为允许的源地址；
对在入端口接收到的匹配第一类型ACL的上行报文设置第一标记后转发 到出端口，对在入端口接收到的匹配第二类型ACL的上行报文设置第二标记 后转发到出端口；
在出端口对匹配所述隔离类ACL或者所述安全类ACL的上行报文进行转发。
上述的报文控制方法，其中，所述第一标记和第二标记为报文的差分服务 代码点(DSCP)中的优先级，或者，为报文的802.IP协议头中的优先级。
上述的报文控制方法，其中，所述第一标记和第二标记为在报文头中增加 的字段的值；所述方法还包括:在对匹配所述隔离类ACL或者所述安全类ACL 的上行报文进行转发之前，删除该上行报文中的所述增加的字段。
上述的才艮文控制方法，其中，所述源地址为用户终端的MAC地址。 一种端点准入防御中的报文控制方法，包括如下步骤 在接入设备的上游设备的入端口上下发隔离类ACL和安全类ACL,所述 隔离类ACL的匹配MJ'J为判断上行报文是否携带第一标记，以及，该上行 报文的目的地址是否为允许的目的地址；所述安全类ACL的匹配规则为判 断上行报文是否携带第二标记，以及，该上行报文的目的地址是否为允许的目 的地址；
在接入设备的入端口上为未通过安全状态认证的用户终端下发第 一类型 ACL,为通过安全状态认证的用户终端下发第二类型ACL，所述第一类型ACL 和第二类型ACL的匹配规则为判断上行报文的源地址是否为允许的源地址；
接入设备对在入端口接收到的匹配第一类型ACL的上行报文设置第一标 记后转发到出端口，对在入端口接收到的匹配第二类型ACL的上行报文设置 第二标记后转发到出端口，并在出端口对设置了第一、二标记的上行报文进行 转发；
上游设备对接收到的匹配所述隔离类ACL或者所述安全类ACL的上行报文进行转发。一种端点准入防御中的接入设备，包括第一 ACL下发模块，用于在出端口上下发隔离类ACL和安全类ACL, 所述隔离类ACL的匹配规则为判断上行报文是否携带第一标记，以及，该 上行报文的目的地址是否为允许的目的地址；所述安全类ACL的匹配规则为 判断上行报文是否携带第二标记，以及，该上行报文的目的地址是否为允许的 目的地址；第二 ACL下发模块，用于在入端口上为未通过安全状态认证的用户终端 下发第一类型ACL,为通过安全状态认证的用户终端下发第二类型ACL,所 述第一类型ACL的匹配规则为判断上行报文的源地址是否为允许的源地址； 所述第二类型ACL的匹配MJ'j为判断上行报文的源地址是否为允许的源地址；第二 ACL处理模块，用于对在入端口接收到的匹配第一类型ACL的上行 报文设置第一标记后转发到出端口，对在入端口接收到的匹配第二类型ACL 的上行报文设置第二标记后转发到出端口 ；第一 ACL处理模块，用于在出端口对匹配所述隔离类ACL或者所述安全 类ACL的上行^^文进行转发。上述的接入设备，其中，所述第一标记和第二标记为报文的DSCP中的优 先级，或者，为报文的802.1P协议头中的优先级。上述的接入设备，其中，所述第一标记和第二标记为在报文头中增加的字 段的值；所述第一 ACL处理模块还用于，在对匹配所述隔离类ACL或者所述 安全类ACL的上行报文进行转发之前，删除该上行^f艮文中的所述增加的字段。上述的接入设备，其中所述源地址为用户终端的MAC地址。一种端点准入防御中的接入设备，所述接入设备的上游设备的入端口上下 发有隔离类ACL和安全类ACL，所述隔离类ACL的匹配MJ'j为判断上行 报文是否携带第一标记，以及，该上行报文的目的地址是否为允许的目的地址； 所述安全类ACL的匹配规则为判断上行报文是否携带第二标记，以及，该 上行报文的目的地址是否为允许的目的地址；所述接入设备包括ACL下发模块，用于在入端口上为未通过安全状态认证的用户终端下发第一类型ACL，为通过安全状态认证的用户终端下发第二类型ACL,所述第一类型ACL的匹配规则为判断上行报文的源地址是否为允许的源地址；所述第二类型ACL的匹配规则为判断上行报文的源地址是否为允许的源地址；
ACL处理-漠块，用于对在入端口接收到的匹配第一类型ACL的上行报文设置第 一标记后转发到出端口 ，使得所述上游设备对接收到的匹配隔离类ACL的上行报文进行转发；以及
对在入端口接收到的匹配第二类型ACL的上行报文设置第二标记后转发到出端口，使得所述上游设备对接收到的匹配安全类ACL的上行报文进行转发。
本发明实施例通过对用户终端进行类划分，并使用出端口下发ACL来对所有接入用户进行访问控制，有效的减少了用户终端EAD认证时接入设备下发ACL的数量，进而能够增加接入设备对用户终端的接入能力。


图1为端点准入防御的基本原理示意图2为本发明实施例一的端点准入防御中的报文控制方法流程图；图3为本发明实施例二的端点准入防御中的报文控制方法流程图；图4为本发明实施例一的端点准入防御中的接入设备的结构示意图；图5为本发明实施例二的端点准入防御中的接入设备的结构示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及具体实施例对本发明进行详细描述。本发明实施例的关键在于
(1 )对用户终端进行类划分隔离类、安全类，并且在接入设备的入端口 (本发明中，接入设备的入端口指用户终端的接入端口 )使用ACL、 QoS进行动态类标记；
(2)在接入设备的出端口 (本发明中，接入设备的出端口指接入设备连接网络侧的接口，即上联口 )进行类控制，出端口既要下发隔离类用户的ACL,也要下发安全类用户的ACL,采用静态下发即可，无需动态下发，以减少接入设备中的信令交互；(3)对于不支持出端口 ACL的接入设备，可以在与之相连的上游设备的入端口静态下发隔离类ACL和安全类ACL,即便上游设备是友商设备，也可以保证EAD的整体部署。
图2为本发明实施例一的端点准入防御中的报文控制方法流程图，该方法应用于EAD中的接入设备(即，安全联动设备)中，包括如下步骤
步骤201:在出端口上下发隔离类ACL和安全类ACL;
其中，所述隔离类ACL的匹配规则为判断上行报文是否携带第一标记，以及，该上行报文的目的地址是否为允许的目的地址；与所述隔离类ACL关联的处理策略为对于匹配的上行报文进行转发。
所述安全类ACL的匹配规则为判断上行报文是否携带第二标记，以及，该上行报文的目的地址是否为允许的目的地址；与所述安全类ACL关联的处理策略为对于匹配的上行^R文进行转发。
步骤202:在入端口上为未通过安全状态认证的用户终端下发第一类型ACL，为通过安全状态认证的用户终端下发第二类型ACL;
EAD认证包括身^f分认证和安全状态认证。用户终端试图接入网络时，首先进行身份认证如果用户名或者密码错误，不能通过802.1x或者portal认证，判定该用户非法，非法用户将被拒绝接入；如果用户名和密码正确，则判定该用户合法。
合法用户将被要求进行安全状态认证安全策略服务器检查用户的补丁版本、病毒库版本等是否合格，如果检查不通过，安全策略服务器通知接入设备将该用户放置进隔离区，只能访问指定的资源，例如补丁服务器、病毒服务器、内部的FTP服务器等。本发明和现有的实现方法的不同之处在于，对于处于隔离区的用户，并不直接在该用户的接入端口下发大量的ACL来进行访问控制，而是将其划入到隔离类，即，为该用户终端下发一条第一类型ACL。对于其它端口的用户终端，如果处于隔离状态，也是将其划入隔离类，并分别为每个隔离用户下发一条第一类型ACL。
如果通过安全状态认证，安全策略服务器通知接入设备将该用户放置进安全区，除了限定的一些访问资源不能访问外，能够访问大部分网络资源。此种情况下，本发明和现有的实现方法不同之处在于，对于处于安全区的用户，并不直接在该用户的接入端口下发大量的ACL来进行访问控制，而是将其划入到安全类，即，为该用户终端下发一条第二类型ACL。对于其它端口的用户终端，如果处于安全状态，也是将其划入安全类，并分别为每个安全用户下发一条第二类型ACL。
其中，所述第一类型ACL的匹配规则为判断上行报文的源地址是否为允许的源地址；与所述第一类型ACL关联的处理策略为对匹配的上行报文设置第 一标记后转发到出端口 。
所述第二类型ACL的匹配规则为判断上行报文的源地址是否为允许的源地址；与所述第二类型ACL关联的处理策略为对匹配的上行报文设置第二标记后转发到出端口 。
步骤203:对在入端口接收到的匹配第一类型ACL的上行报文设置第一标记后转发到出端口 ，对在入端口接收到的匹配第二类型ACL的上行报文设置第二标记后转发到出端口 ；
从入端口接收到用户终端的上行报文后，首先进行ACL的匹配。具体地，是将报文的源地址，例如MAC地址，与ACL中的源地址进行匹配，如果上行报文的源地址与某条ACL中的源地址相同，则说明该上行报文与该条ACL匹配。
在上行报文与某条ACL匹配时，执行与之关联的处理策略。如果与第一类型ACL匹配，则在上行报文中设置第一标记后转发到出端口；如果与第二类型ACL匹配，则在上行报文中设置第二标记后转发到出端口。本发明实施例提供如下三种方式来对上行报文进行标记。方式一，通过差分服务代码点(DSCP)的两个优先级进行标记例如，对于处于隔离区的用户，将其上行报文的DSCP标记为I,对于处于安全区的用户，将其上行报文的DSCP标记为2。标记的动作是通过在入端口下发一条ACL来实现，对于与该ACL匹配的上行"t艮文，根据该ACL的处理策略，将其DSCP进行有效的标记。采用这种方式，针对每个用户，在入端口只需要下发一条ACL,使用QoS的标记动作加以配合即可，相比现有的实现方式，每个用户可以节省10多条ACL资源。方式二，通过802.1P的两个优先级进行标记例如，对于处于隔离区的用户，将其上行报文的802.1P协议头标记为1，对于处于安全区的用户，将其上行报文的802.1P协议头标记为2。标记的动作是通过在入端口下发一条ACL来实现，对于与该ACL匹配的上行报文，根据该ACL的处理策略，将其802.1P协议头进行有效的标记。采用这种方式，针对每个用户，在入端口只需要下发一条ACL,使用QoS的标记动作加以配合即可，相比现有的实现方式，每个用户可以节省10多条ACL资源。
方式三，通过在上行报文的报文头中增加一个字段进行标记
例如，对于处于隔离区的用户，在其上行报文的报文头中增加一个字段，且将该字段标记为1,对于处于安全区的用户，在其上行报文的报文头中增加一个字段，且将该字段标记为2。标记的动作是通过在入端口下发一条ACL来实现，对于与该ACL匹配的上行报文，根据该ACL的处理策略，对其报文头中增加的字段进行有效的标记。采用这种方式，针对每个用户，在入端口只需要下发一条ACL,使用QoS的标记动作加以配合即可，相比现有的实现方式，每个用户可以节省IO多条ACL资源。
步骤204:在出端口对匹配所述隔离类ACL或者所述安全类ACL的上行报文进行转发。
在出端口对用户终端的上行报文进行ACL的匹配。具体地，是将报文中携带的标记与ACL中的标记进行比较，将报文的目的地址与ACL中的目的地址进行比较，如果上行报文携带的标记与某条ACL中的标记相同，并且该上行报文的目的地址与该条ALC中的目的地址相同，则说明该上行报文与该条ACL匹配。在上行报文与某条ACL匹配时，执行与之关联的处理策略，即，对该上行报文进行转发。
需要说明的是，对于前述的通过在上行报文的报文头中增加一个字段进行标记的情况，该字段的增加不能影响报文的正常转发。因此，在步骤201中，此种情况对应的隔离类ACL和安全类ACL的处理策略为对于匹配的上行报文，删除该上行报文中的所述增加的字段后进行转发。在本步骤中，对于匹配的上行报文，执行该种情形下的处理策略。
实施例一要求接入设备的入端口和出端口都支持ACL,对于不支持出端口ACL的接入设备，本发明还提供如下的实施例二，即，在与该接入设备相连的上游设备的入端口静态下发隔离类ACL和安全类ACL。
图3为本发明实施例二的端点准入防御中的报文控制方法流程图，该方法
应用于EAD中的接入设备及与该接入设备相连的上游设备中，包括如下步骤 步骤301:在接入设备的上游设备的入端口上下发隔离类ACL和安全类
ACL;
其中，所述隔离类ACL的匹配规则为判断上行报文是否携带第一标记， 以及，该上行报文的目的地址是否为允许的目的地址；与所述隔离类ACL关 联的处理策略为对于匹配的上行报文进行转发。
所述安全类ACL的匹配规则为判断上行报文是否携带第二标记，以及， 该上行报文的目的地址是否为允许的目的地址；与所述安全类ACL关联的处 理策略为对于匹配的上行报文进行转发。
步骤302:在4妻入设备的入端口上为未通过安全状态认证的用户终端下发 第一类型ACL,为通过安全状态认证的用户终端下发第二类型ACL;
其中，所述第一类型ACL的匹配规则为判断上行报文的源地址是否为 允许的源地址；与所述第一类型ACL关联的处理策略为对匹配的上行报文 设置第 一标记后转发到出端口 。
所述第二类型ACL的匹配规则为判断上行报文的源地址是否为允许的 源地址；与所述第二类型ACL关联的处理策略为对匹配的上行报文设置第 二标记后转发到出端口。
步骤303:接入设备对在入端口接收到的匹配第一类型ACL的上行报文 设置第一标记后转发到出端口，对在入端口接收到的匹配第二类型ACL的上 行报文设置第二标记后转发到出端口，并在出端口对设置了第一、二标记的上 行报文进行转发；
从入端口接收到用户终端的上行报文后，首先进行ACL的匹配。具体地， 是将报文的源地址，例如MAC地址，与ACL中的源地址进行匹配，如果上 行报文的源地址与某条ACL中的源地址相同，则说明该上行报文与该条ACL 匹配。
在上行报文与某条ACL匹配时，执行与之关联的处理策略。如果与第一 类型ACL匹配，则在上行报文中设置第一标记后转发到出端口；如果与第二类型ACL匹配，则在上行报文中设置第二标记后转发到出端口 。 对上行报文进行标记的方式请参见实施例一。
在接入设备的出端口对设置了第一、二标记的上行报文进行转发，即，将 该上行报文发送到与之相连的上游设备的入接口 。
步骤304:上游设备对接收到的匹配所述隔离类ACL或者所述安全类ACL 的上行^^艮文进行转发。
上游设备在入端口对用户终端的上行报文进行ACL的匹配。具体地，是 将报文中携带的标记与ACL中的标记进行比较，将报文的目的地址与ACL中 的目的地址进行比较，如果上行报文携带的标记与某条ACL中的标记相同， 并且该上行报文的目的地址与该条ALC中的目的地址相同，则说明该上行报 文与该条ACL匹配。在上行报文与某条ACL匹配时，执行与之关联的处理策 略，即，对该上行才艮文进行转发。
需要说明的是，对于前述的通过在上行报文的报文头中增加一个字段进行 标记的情况，该字段的增加不能影响报文的正常转发。因此，在步骤301中， 此种情况对应的隔离类ACL和安全类ACL的处理策略为对于匹配的上行报 文，删除该上4亍才艮文中的所述增加的字段后进行转发。在本步骤中，对于匹配 的上行报文，执行该种情形下的处理策略。
以下对实现上述方法的接入设备进行描述。
参照图4，本发明实施例一的端点准入防御中的接入设备，包括
第一 ACL下发模块，用于在出端口上下发隔离类ACL和安全类ACL;
其中，所述隔离类ACL的匹配规则为判断上行报文是否携带第一标记， 以及，该上行"R文的目的地址是否为允许的目的地址；与所述隔离类ACL关 联的处理策略为对于匹配的上行报文进行转发；
所述安全类ACL的匹配规则为判断上行报文是否携带第二标记，以及， 该上行^J艮文的目的地址是否为允许的目的地址；与所述安全类ACL关联的处 理策略为对于匹配的上行#>文进行转发。
第二 ACL下发模块，用于在入端口上为未通过安全状态认证的用户终端 下发第一类型ACL，为通过安全状态认证的用户终端下发第二类型ACL;
其中，所述第一类型ACL的匹配规则为判断上行报文的源地址是否为允许的源地址；与所述第一类型ACL关联的处理策略为对匹配的上行报文 设置第 一标记后转发到出端口 ；
所述第二类型ACL的匹配规则为判断上行报文的源地址是否为允许的 源地址；与所述第二类型ACL关联的处理策略为对匹配的上行报文设置第 二标记后转发到出端口。
第二 ACL处理模块，用于对在入端口接收到的匹配第一类型ACL的上行 报文设置第一标记后转发到出端口，对在入端口接收到的匹配第二类型ACL 的上行报文设置第二标记后转发到出端口 ；
第一 ACL处理模块，用于在出端口对匹配所述隔离类ACL或者所述安全 类ACL的上行报文进行转发。
其中，所述第一标记和第二标记可以为报文的DSCP中的优先级，或者， 为报文的802.1P协议头中的优先级。
所述第一标记和第二标记也可以为在报文头中增加的字段的值。此种情况 对应的隔离类ACL和安全类ACL的处理策略为对于匹配的上行报文，删除 该上行报文中的所述增加的字段后进行转发。因此，所述第一ACL处理模块 还用于，在对匹配所述隔离类ACL或者所述安全类ACL的上行报文进行转发 之前，删除该上行报文中的所述增加的字段。
图5为本发明实施例二的端点准入防御中的接入设备的结构示意图，所述 接入设备的上游设备的入端口上下发有隔离类ACL和安全类ACL，所述隔离 类ACL的匹配规则为判断上行报文是否携带第一标记，以及，该上行报文 的目的地址是否为允许的目的地址；所述安全类ACL的匹配规则为判断上 行报文是否携带第二标记，以及，该上行报文的目的地址是否为允许的目的地 址；所述接入设备包括
ACL下发^^莫块，用于在入端口上为未通过安全状态认证的用户终端下发 第一类型ACL，为通过安全状态认证的用户终端下发第二类型ACL,所述第 一类型ACL的匹配规则为判断上行报文的源地址是否为允许的源地址；所 述第二类型ACL的匹配规则为判断上行报文的源地址是否为允许的源地址；
ACL处理模块，用于对在入端口接收到的匹配第一类型ACL的上行报文 设置第 一标记后转发到出端口 ，使得所述上游设备对接收到的匹配隔离类ACL的上行报文进行转发；以及
对在入端口接收到的匹配第二类型ACL的上行报文设置第二标记后转发 到出端口，使得所述上游设备对接收到的匹配安全类ACL的上行报文进行转 发。
下面以通过DSCP的两个优先级对隔离类和安全类进行标记为例，来说明 本发明的有益效果。
本发明中，无论是隔离类用户还是安全类用户，对其的访问控制都是放在
接入设备的出端口 (上联口)来进行的，因为用户访问网络必将通过出端口转
发出去。在出端口，下发如下的隔离类ACL: acl number 3099 rule 0 deny ip
rule 1 permit udp destination-port eq bootps rule 2 permit udp destination-port eq bootpc rule 3 permit ip dscpl destination 10.153.0.124 0 rule 4 permit ip dscpl destination 10.153.0.123 0 rule 5 permit ip dscpl destination 10.154.240.11 0 rule 6 permit ip dscpl destination 10.72.65.36 0 rule 7 permit ip dscpl destination 10.153.0.62 0 rule 8 permit ip dscpl destination 10.153.0.60 0 rule 9 permit ip dscpl destination 10.153.0.61 0 rule 10 permit ip dscpl destination 10.72.66.36 0
rule 11 permit ip dscpl destination 10.72.66.37 0
对于安全类用户，实现方法与隔离类用户类似，其标记字段为dscp2。如 果接入设备有多个出端口，需要在这些出端口上都下发相应的隔离类ACL和 安全类ACL。
上述在出端口下发的ACL虽然和现有技术中在入端口下发的ACL类似， 但是，现有技术是在入端口针对每个用户动态下发多条ACL;而本发明是在 出端口静态下发隔离类ACL和安全类ACL,其中，隔离类ACL是针对所有 隔离类用户的，安全类ACL是针对所有安全类用户的。本发明由于不需要针 对每个用户下发ACL，因此，能够节省接入设备的ACL资源。
以隔离类用户需要下发12条ACL,安全类用户需要下发8条ACL为例，当有IO个接入用户的时候，将本发明的技术方案与现有方案使用ACL资源的 情况对比如下
(1) 最使用ACL资源的是所有用户都处于隔离状态，现有技术需要在每 个用户的接入端口分别下发12条ACL,总共需要下发120条ACL;而本发明 只需要在每个用户的接入端口下发1条ACL,在出端口即上联口下发12+8=20 条ACL，总共需要下发10 x 1+20=30条ACL,与现有技术相比，节省了 120 —30=90条ACL。
(2) 最节省A(X资源的是所有用户都处于安全状态，现有技术需要在每 个用户的接入端口分别下发8条ACL,总共需要下发80条ACL而；本发明 只需下发30条ACL,与现有技术相比，节省了 80 - 30=50条ACL。
当接入设备上联口较多时，对于本发明而言，消耗的出端口ACL资源会 增加，但是，如果接入用户数比较多，本发明相对于现有技术仍然能够节省较 多的ACL资源。
最后应当说明的是，以上实施例仅用以说明本发明的技术方案而非限制， 本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同 替换，而不脱离本发明技术方案的精神范围，其均应涵盖在本发明的权利要求 范围当中。
权利要求
1.一种端点准入防御中的报文控制方法，其特征在于，包括如下步骤在出端口上下发隔离类访问控制列表ACL和安全类ACL，所述隔离类ACL的匹配规则为判断上行报文是否携带第一标记，以及，该上行报文的目的地址是否为允许的目的地址；所述安全类ACL的匹配规则为判断上行报文是否携带第二标记，以及，该上行报文的目的地址是否为允许的目的地址；在入端口上为未通过安全状态认证的用户终端下发第一类型ACL，为通过安全状态认证的用户终端下发第二类型ACL，所述第一类型ACL和第二类型ACL的匹配规则为判断上行报文的源地址是否为允许的源地址；对在入端口接收到的匹配第一类型ACL的上行报文设置第一标记后转发到出端口，对在入端口接收到的匹配第二类型ACL的上行报文设置第二标记后转发到出端口；在出端口对匹配所述隔离类ACL或者所述安全类ACL的上行报文进行转发。
2. 如权利要求1所述的报文控制方法，其特征在于 所述第一标记和第二标记为报文的差分服务代码点DSCP中的优先级，或者，为报文的802.1P协议头中的优先级。
3. 如权利要求1所述的报文控制方法，其特征在于 所述第一标记和第二标记为在报文头中增加的字段的值； 所述方法还包括在对匹配所述隔离类ACL或者所述安全类ACL的上行报文进行转发之前，删除该上行报文中的所述增加的字段。
4. 如权利要求1所述的报文控制方法，其特征在于 所述源地址为用户终端的MAC地址。
5. —种端点准入防御中的报文控制方法，其特征在于，包括如下步骤 在接入设备的上游设备的入端口上下发隔离类ACL和安全类ACL,所述隔离类ACL的匹配规则为判断上行报文是否携带第一标记，以及，该上行 报文的目的地址是否为允许的目的地址；所迷安全类ACL的匹配规则为判 断上行报文是否携带第二标记，以及，该上行报文的目的地址是否为允许的目的地址；在接入设备的入端口上为未通过安全状态认证的用户终端下发第 一类型ACL,为通过安全状态认证的用户终端下发第二类型ACL,所述第一类型ACL 和第二类型ACL的匹配规则为判断上行报文的源地址是否为允许的源地址； 接入设备对在入端口接收到的匹配第一类型ACL的上行报文设置第一标 记后转发到出端口，对在入端口接收到的匹配第二类型ACL的上行报文设置 第二标记后转发到出端口，并在出端口对设置了第一、二标记的上行报文进行转发；上游设备对接收到的匹配所述隔离类ACL或者所述安全类ACL的上行报 文进行转发。
6. —种端点准入防御中的接入设备，其特征在于，包括第一 ACL下发模块，用于在出端口上下发隔离类ACL和安全类ACL, 所述隔离类ACL的匹配规则为判断上行"^艮文是否携带第一标记，以及，该 上行报文的目的地址是否为允许的目的地址；所述安全类ACL的匹配规则为 判断上行"R文是否携带第二标记，以及，该上行报文的目的地址是否为允许的 目的地址；第二 ACL下发;f莫块，用于在入端口上为未通过安全状态认证的用户终端 下发第一类型ACL,为通过安全状态认证的用户终端下发第二类型ACL,所 述第一类型ACL的匹配规则为判断上行报文的源地址是否为允许的源地址； 所述第二类型ACL的匹配规则为判断上行报文的源地址是否为允许的源地 址；第二 ACL处理模块，用于对在入端口接收到的匹配第一类型ACL的上行 报文设置第一标记后转发到出端口，对在入端口接收到的匹配第二类型ACL 的上行报文设置第二标记后转发到出端口 ；第一 ACL处理模块，用于在出端口对匹配所述隔离类ACL或者所述安全 类ACL的上行报文进行转发。
7. 如权利要求6所述的接入设备，其特征在于所述第一标记和第二标记为报文的DSCP中的优先级，或者，为报文的 802.1P协议头中的优先级。
8. 如权利要求6所述的接入设备，其特征在于 所述第一标记和第二标记为在报文头中增加的字段的值；所述第一 ACL处理才莫块还用于，在对匹配所述隔离类ACL或者所述安全 类ACL的上行4艮文进行转发之前，删除该上行报文中的所述增加的字段。
9. 如权利要求6所述的接入设备，其特征在于 所述源地址为用户终端的MAC地址。
10. —种端点准入防御中的接入设备，所述接入设备的上游设备的入端口 上下发有隔离类ACL和安全类ACL,所述隔离类ACL的匹配规则为判断 上行报文是否 >携带第一标记，以及，该上行报文的目的地址是否为允许的目的 地址；所述安全类ACL的匹配规则为判断上行报文是否携带第二标记，以 及，该上行报文的目的地址是否为允许的目的地址；其特征在于，所述接入设 备包括ACL下发模块，用于在入端口上为未通过安全状态认证的用户终端下发 第一类型ACL,为通过安全状态认证的用户终端下发第二类型ACL,所述第 一类型ACL的匹配规则为判断上行报文的源地址是否为允许的源地址；所 述第二类型ACL的匹配规则为判断上行报文的源地址是否为允许的源地址；ACL处理模块，用于对在入端口接收到的匹配第一类型ACL的上行报文 设置第 一标记后转发到出端口 ，使得所述上游设备对接收到的匹配隔离类 ACL的上行才艮文进行转发；以及对在入端口接收到的匹配第二类型ACL的上行报文设置第二标记后转发 到出端口 ，使得所述上游设备对接收到的匹配安全类ACL的上行报文进行转 发。
全文摘要
本发明提供一种端点准入防御中的报文控制方法及接入设备。所述方法包括如下步骤在出端口上下发隔离类ACL和安全类ACL；在入端口上为未通过安全状态认证的用户终端下发第一类型ACL，为通过安全状态认证的用户终端下发第二类型ACL；对在入端口接收到的匹配第一类型ACL的上行报文设置第一标记后转发到出端口，对在入端口接收到的匹配第二类型ACL的上行报文设置第二标记后转发到出端口；在出端口对匹配所述隔离类ACL或者所述安全类ACL的上行报文进行转发。依照本发明，能够减少接入设备下发ACL的数量，进而能够增加接入设备对用户终端的接入能力。
文档编号H04L29/06GK101631121SQ20091009172
公开日2010年1月20日 申请日期2009年8月24日 优先权日2009年8月24日
发明者史计达 申请人:杭州华三通信技术有限公司