专利名称:接入层交换机端口安全控制方法及交换机的制作方法
技术领域:
本发明涉及通信网络技术领域,特别涉及接入层交换机端口安全控制方法及交换 机。
背景技术:
现有技术中,通常将通信网络中直接面向用户连接或者访问网络的部分称为接入 层。按照宽带网络的定义,接入层主要功能是完成用户流量的接入和隔离。最常用的接入 层设备即接入层以太网交换机,随着数据通信技术的发展,用户对于接入层以太网交换机 端口的安全性要求越来越高,要求接入层交换机可以对端口进行有效的控制,以提高端口 安全性。图1为典型用户接入层网络结构示意图,如图1所示,接入层交换机通过端口 1和 HUB与多个用户相连,并通过外部网络与网管平台和数据服务器相连,在该网络中,为了数 据安全等考虑,用户访问外部网络或数据服务器等行为需要通过接入层交换机进行端口安 全控制。对于接入层以太网交换机而言,目前常用的端口安全控制机制,包括端口 802. Ix 认证、端口媒体访问控制地址(MAC:Media Access Control)学习数目限制、端口安全 MAC地址等,第一种是基于端口的用户身份认证实现,后两种均为基于入报文源MAC地址 (SMAC =Source MediaAccess Control)学习控制实现。端口 802. Ix认证方案IEEE标准规定的一种基于端口的认证方案,接入用户使用命令行、密码的方式向 认证服务器发送认证申请,通过后该用户即可通过该认证端口访问外部网络。对于没有合 法用户名、密码的用户属于非法用户。端口 MAC地址数目限制方案通过端口对MAC地址学习数目的限制来达到接入的合法用户数量的限制,对于超 过限制的用户而言,视为非法用户,数据报文直接丢弃。安全MAC地址方案通过预先设置的端口 MAC地址来区分用户,设置为安全MAC地址的用户为合法用 户,非安全MAC地址对应的用户均为非法用户,可通过配置报告到网管平台,网管平台可以 监控和管理当前端口上的接入用户。上述三种方案各有优缺点,具体比较如下表所示时比内容\对比项 \ _ N方案优点方案缺点方案应用场素端口 802. Ix 认 证方案端口安全性较高。 网络监控管理能 力强。
用户访问稳定。同一端口用户间易造 成攻击。
无法配置用户等级。 易造成物理端口资源 浪费。接入层以太网交换机 端口下联用户仅一个 的情况。端口 MAC地址学 习数目限制方 案端口安全性较低。 同一端口用户间 不易造成攻击。用户访问存在稳定隐 ^·。
无法配置用户等级。 网络监控管理能力弱。接入层以太网交换机 端口下可下联多个用 户,并且用户间不分 等级且不需要对用户 访问进行监控管理的 情况。安全MAC地址方 案网络监控管理强。 用户访问稳定。 同一端口用户间 不易造成攻击。无法配置用户等级。 网络变化适应性不强。接入层以太网交换机 端口下可下联多个用 户,对于用户等级划 分要求不高,配置后 网络拓扑变化范围不 大的情况。表一,现有以太网交换机端口安全方案对比表从表一中可以看出,现有的以太网交换机端口安全控制方法只能区分出合法用户 和非法用户,而没有区分合法用户的不同用户等级的能力,因此不能实现针对不同等级的 合法用户进行不同的安全控制操作。
发明内容
本发明实施例提供一种接入层交换机端口安全控制方法,能够实现合法用户的多 等级安全控制。本发明实施例提供一种交换机,能够实现合法用户的多等级安全控制。为达到上述目的,本发明的技术方案具体是这样实现的一种接入层交换机端口安全控制方法,该方法包括获取用户的安全控制信息;根据所述安全控制信息,通过预先在交换机端口上配置的至少两种安全控制判 据,确定用户等级;对不同等级的用户执行不同的安全控制策略。较佳地,所述安全控制判据包括安全MAC地址、MAC地址学习数目上限和802. Ix认证。较佳地,所述安全控制信息包括用户的源MAC地址和/或,802. Ix认证用户名及密码。
较佳地,所述根据安全控制信息,通过预先在交换机端口上配置的至少两种安全 控制判据,确定用户等级,包括根据用户的源MAC地址,通过预先在交换机端口上配置的安全MAC地址和MAC地 址学习数目上限确定用户等级。较佳地,所述根据安全控制信息,通过预先在交换机端口上配置的至少两种安全 控制判据,确定用户等级,包括根据用户的源MAC地址和802. Ix认证用户名及密码,通过预先在交换机端口上配 置的安全MAC地址、MAC地址学习数目上限和802. Ix认证确定用户等级。一种交换机,该交换机包括信息获取模块,用于获取用户的安全控制信息;等级确定模块,用于根据所述安全控制信息,通过预先在交换机端口上配置的至 少两种安全控制判据,确定用户等级;控制模块,用于对不同等级的用户执行不同的安全控制策略。较佳地,所述信息获取模块包括MAC获取单元和/或密码获取单元;所述MAC获取单元,用于获取用户的源MAC地址;所述密码获取单元,用于获取用户的802. Ix认证用户名及密码。较佳地,所述等级确定模块包括安全配置单元,用于在交换机端口上配置的安全MAC地址和MAC地址学习数目上 限;等级确定单元,用于根据用户的源MAC地址,通过所述在交换机端口上配置的安 全MAC地址和MAC地址学习数目上限确定用户等级。较佳地,所述等级确定模块包括安全配置单元,用于在交换机端口上配置安全MAC地址、MAC地址学习数目上限和 802. Ix 认证;等级确定单元,用于根据用户的源MAC地址和802. Ix认证用户名及密码,通过所 述在交换机端口上配置的安全MAC地址、MAC地址学习数目上限和802. Ix认证确定用户等 级。由上述的技术方案可见,本发明的这种接入层交换机端口安全控制方法及交换机 可以通过预先在交换机端口上设置的两种或至少两种安全控制判据之间的配合,从合法用 户中进一步区分出不同的用户等级,从而达到对合法用户进行多等级安全控制的目的,实 现更加灵活更加丰富的用户安全控制。
图1为典型用户接入层网络结构示意图;图2为本发明实施例的接入层交换机端口安全控制方法流程图;图3为本发明实施例的接入层交换机端口安全控制方法的具体应用流程图;图4为本发明实施例的交换机结构示意图;图5为本发明实施例的等级确定模块结构示意图。
具体实施例方式为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对 本发明进一步详细说明。本发明主要是综合了目前多种端口安全控制方案,通过多种端口安全控制方案 之间的配合,来确定出合法用户的等级,进而对不同等级的合法用户进行不同的安全控制 策略,从而达到对合法用户进行多级别安全控制的目的,实现更加灵活,更加丰富的用户控 制,可以为不同等级的合法用户提供不同的网络访问限制策略,提高网络的安全性。图2为本发明实施例的接入层交换机端口安全控制方法流程图,如图2所示,该方 法包括如下步骤步骤201,获取用户的安全控制信息;用户的安全信息用于确定用户等级,如用户的源MAC地址或用户用于802. Ix认证 的用户名及密码,或者同时包括用户的源MAC地址和用户的802. Ix认证用户名及密码。步骤202,根据所述安全控制信息,通过预先在交换机端口上配置的至少两种安全 控制判据,确定用户等级;具体判据可以包括现有技术中的三种安全控制机制,即安全MAC地址(通过设置 安全的MAC地址和不安全的MAC地址区分合法/非法用户)、MAC地址学习数目上限(通过 是否允许MAC地址学习,以及允许进行MAC地址学习的数量上限,控制端口允许接入的用户 数目)和802. Ix认证(通过用户提供的用户名和密码是否合法来区分用户),当然,任何其 它判据,包括本发明申请之后开发出的其它安全控制机制也可以作为本发明中的安全控制 判据。具体确定用户等级时,根据端口配置的安全控制判据和获取的用于进行用户等级 判断的安全控制信息不同,具体可以有多种实现方式;例如,可以根据用户的源MAC地址, 通过预先在交换机端口上配置的安全MAC地址和MAC地址学习数目上限确定用户等级。也 可以根据用户的源MAC地址和802. Ix认证用户名及密码,通过预先在交换机端口上配置的 安全MAC地址、MAC地址学习数目上限和802. Ix认证确定用户等级。鉴于至少两种不同安全控制判据的组合较多,每种组合配合所需获取的安全控制 信息,都可以作为本步骤的一个实施例,因此这里就不一一列举了。步骤203,对不同等级的用户执行不同的安全控制策略。对于不同等级的用户,可以预先设置不同的安全控制策略,比如允许访问所有网 络资源、不允许访问网络资源,或者有条件访问网络资源等,具体可以根据需要而定。对于以上方法,确定用户等级的具体方法可以根据预先划分的用户等级确定,即 根据需要划分的用户等级的数量不同,用户等级的具体确定方法是不同的,例如要划分1、 2、3、4共4个等级的用户,则具体用户等级确定方法举例如下 预先在交换机端口上配置等级2用户的MAC地址和等级4用户的MAC地址;
用户接入时,判断用户的源MAC地址是否为等级2用户的MAC地址,若是,则确定 为等级2用户;否则继续判断是否为等级4用户的MAC地址,若是,则确定为等级4用户; 否则继续判断用户的目的MAC地址是否为802. Ix组播MAC地址,若是,则对该用户进行 802. Ix认证,并在该用户通过802. Ix认证后,确定该用户为等级1用户;若用户的目的MAC 地址不是802. Ix组播MAC地址,则继续判断用户接入的端口是否允许MAC地址学习,以及是否达到允许MAC地址学习的数量上限,如果允许MAC地址学习且没有达到允许MAC地址 学习的数量上限,则确定为等级3用户。如果要划分3个等级的用户,如上述1、2、4等级的用户,则具体用户等级确定方法 举例如下预先在交换机端口上配置等级2用户的MAC地址和等级4用户的MAC地址;用户接入时,判断用户的源MAC地址是否为等级2用户的MAC地址,若是,则确定 为等级2用户;否则继续判断是否为等级4用户的MAC地址,若是,则确定为等级4用户;否 则继续判断用户的目的MAC地址是否为802. Ix组播MAC地址,若是,则确定为等级1用户。如果要划分3个等级的用户,如上述2、3、4等级的用户,则具体用户等级确定方法 举例如下预先在交换机端口上配置等级2用户的MAC地址和等级4用户的MAC地址;用户接入时,判断用户的源MAC地址是否为等级2用户的MAC地址,若是,则确定 用户为等级2用户;否则继续判断是否为等级4用户的MAC地址,若是,则确定用户为等级4 用户;否则继续判断用户接入的端口是否允许MAC地址学习,若否,则确定执行预设的等级 4用户操作,若是,则继续判断用户接入的端口是否已达到允许接入用户数目上限,若否,则 确定为等级3用户。如果要划分3个等级的用户,如上述1、3、4等级的用户,则具体用户等级确定方法 举例如下预先在交换机端口上配置等级4用户的MAC地址;用户接入时,判断用户的源MAC地址是否为等级4用户的MAC地址,若是,则确定 为等级4用户;否则继续判断用户的目的MAC地址是否为802. Ix组播MAC地址,若是,则对 该用户进行802. Ix认证,并在该用户通过802. Ix认证后,确定该用户为等级1用户;若用 户的目的MAC地址不是802. Ix组播MAC地址,则继续判断用户接入的端口是否允许MAC地 址学习,以及是否达到允许MAC地址学习的数量上限,如果允许MAC地址学习且没有达到允 许MAC地址学习的数量上限,则确定为等级3用户。对于上述用户等级确定过程中没有被确定为1、2、3、4等级用户中任意一种等级 的用户的情况,可以将该用户统一确定为非法用户。当然,上述实施例中,由于用户等级的设置和划分都是任意的,从哪个用户开始判 断,以及从根据哪个判据对用户等级判断也都是任意的,例如对1、2、3、4,4个等级用户进 行判断时,也可以先从等级1用户开始判断,即先对用户的802. Ix用户名和密码进行验证, 再进行后续的判断流程,或者,也可以使用预先设置的MAC地址来判断等级1的用户而不是 等级2的用户,更多的实施例由于篇幅问题,这里就不一一列举了。本发明的思想在于使用至少两种安全控制机制作为安全控制判据,通过至少两种 的判据对用户的安全控制信息进行判断,从而可以得到更多的用户身份判断结果,因此可 以将合法用户进行更加细化的等级区分,而不仅是现有技术中使用单独的一种安全控制机 制判断用户身份,只能得到合法/不合法两种结果。实际上,任何采用至少两种安全控制机 制来对用户等级进行判断的具体判断方法,都属于本发明思想下的实施例。在确定用户等级后,即可根据用户等级执行相应的安全控制策略,具体什么等级 的用户对应什么安全控制策略可以根据需要设定,这里不再赘述。
以下将以一个具体应用来描述本发明的端口安全控制方法,首先,用户等级的具 体划分举例如下
权利要求
1.一种接入层交换机端口安全控制方法,其特征在于,该方法包括获取用户的安全控制信息;根据所述安全控制信息,通过预先在交换机端口上配置的至少两种安全控制判据,确 定用户等级;对不同等级的用户执行不同的安全控制策略。
2.如权利要求1所述的接入层交换机端口安全控制方法,其特征在于,所述安全控制 判据包括安全MAC地址、MAC地址学习数目上限和802. Ix认证。
3.如权利要求2所述的接入层交换机端口安全控制方法,其特征在于,所述安全控制 信息包括用户的源MAC地址和/或,802. Ix认证用户名及密码。
4.如权利要求3所述的接入层交换机端口安全控制方法,其特征在于,所述根据安全 控制信息,通过预先在交换机端口上配置的至少两种安全控制判据,确定用户等级,包括根据用户的源MAC地址,通过预先在交换机端口上配置的安全MAC地址和MAC地址学 习数目上限确定用户等级。
5.如权利要求3所述的接入层交换机端口安全控制方法,其特征在于,所述根据安全 控制信息,通过预先在交换机端口上配置的至少两种安全控制判据,确定用户等级,包括根据用户的源MAC地址和802. Ix认证用户名及密码,通过预先在交换机端口上配置的 安全MAC地址、MAC地址学习数目上限和802. Ix认证确定用户等级。
6.一种交换机,其特征在于,该交换机包括信息获取模块,用于获取用户的安全控制信息;等级确定模块,用于根据所述安全控制信息,通过预先在交换机端口上配置的至少两 种安全控制判据,确定用户等级;控制模块,用于对不同等级的用户执行不同的安全控制策略。
7.如权利要求6所述的交换机,其特征在于,所述信息获取模块包括:MAC获取单元和 /或密码获取单元;所述MAC获取单元,用于获取用户的源MAC地址;所述密码获取单元,用于获取用户的802. Ix认证用户名及密码。
8.如权利要求6所述的交换机,其特征在于,所述等级确定模块包括安全配置单元,用于在交换机端口上配置的安全MAC地址和MAC地址学习数目上限;等级确定单元,用于根据用户的源MAC地址,通过所述在交换机端口上配置的安全MAC 地址和MAC地址学习数目上限确定用户等级。
9.如权利要求6所述的交换机,其特征在于,所述等级确定模块包括安全配置单元,用于在交换机端口上配置安全MAC地址、MAC地址学习数目上限和 802. Ix 认证;等级确定单元,用于根据用户的源MAC地址和802. Ix认证用户名及密码,通过所述在 交换机端口上配置的安全MAC地址、MAC地址学习数目上限和802. Ix认证确定用户等级。
全文摘要
本发明公开了一种接入层交换机端口安全控制方法和交换机,该方法包括获取用户的安全控制信息;根据所述安全控制信息,通过预先在交换机端口上配置的至少两种安全控制判据,确定用户等级;对不同等级的用户执行不同的安全控制策略。该方法和交换机通过多种端口安全控制方案之间的配合,来确定出合法用户的等级,进而对不同等级的合法用户进行不同的安全控制策略,从而达到对合法用户进行多级别安全控制的目的。
文档编号H04L29/06GK102082729SQ20111003316
公开日2011年6月1日 申请日期2011年1月30日 优先权日2011年1月30日
发明者陈卫亮 申请人:瑞斯康达科技发展股份有限公司