终端准入方法及系统的制作方法
【专利摘要】本发明提出了一种终端准入方法和系统,所述方法包括:a)获取交换机各个端口的接线状态,该接线状态包括连接状态和未连接状态;b)识别所述接线状态,当识别到所述交换机的一个端口的接线状态由未连接状态变成连接状态时,使该端口连接的终端获得访问访客VLAN的权限;c)对访问所述访客VLAN的终端进行身份认证,如果所述终端通过所述身份认证,则使所述终端获得访问指定VLAN的权限,如果所述终端未通过所述身份认证,则使所述终端仅获得访问所述访客VLAN的权限。利用本发明提供的终端准入方法和系统,可以较好地实现终端准入控制,实时简单,成本低。
【专利说明】终端准入方法及系统
【技术领域】
[0001]本发明涉及一种终端准入方法及系统。
【背景技术】
[0002]网络准入控制能够在用户进行网络访问之前确保用户的身份是信任关系,只有可信赖的计算机才能接入网络,从而防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。通过准入控制,客户可以只允许合法的、值得信任的终端设备接入网络,而不允许其它设备接入。
[0003]目前常见的准入技术包括以下几种:802.1x准入、DHCP准入、网关型准入和ARP准入。
[0004]802.1x的准入控制的优点是在交换机支持802.1x协议的时候,802.1x能够真正做到了对网络边界的保护。缺点是不兼容老旧交换机,必须重新更换新的交换机;同时,交换机下接不启用802.1x功能的交换机时,无法对终端进行准入控制。
[0005]DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。
[0006]网关型准入控制不是严格意义上的准入控制。网关型准入控制没有对终端接入网络进行控制,而只是对终端出外网进行了控制。同时,网关型准入控制会造成出口宕掉的瓶颈效应。
[0007]ARP准入控制是通过ARP欺骗实现的。ARP欺骗实际上是一种变相病毒。容易造成网络堵塞。由于越来越多的终端安装的ARP防火墙,ARP准入控制在遇到这种情况下,则不能起作用。
[0008]如上所述,目前常见的准入技术部署实施困难,有些需要在终端计算机上安装定制的准入软件以及需要对终端进行特定的配置,有些需要特定类型的交换机或网关设备,有些则准入控制力度不强或者在某些情况下准入控制不起作用。并且,现有的准入系统在实际实施过程中,通常实施周期长,成本高。
【发明内容】
[0009]针对现有技术中存在的上述问题,本发明提出了一种终端准入方法和系统,以用于不需要特定类型的交换机或网关设备、也不需要在终端上安装准入软件的情况下,实现低成本、控制力度强的准入控制。
[0010]本发明提供了一种终端准入方法,其中,包括以下步骤:
[0011]a)获取交换机各个端口的接线状态,该接线状态包括连接状态和未连接状态;
[0012]b)识别所述接线状态,当识别到所述交换机的一个端口的接线状态由未连接状态变成连接状态时,使该端口连接的终端获得访问访客VLAN的权限;
[0013]c)对访问所述访客VLAN的终端进行身份认证,如果所述终端通过所述身份认证,则使所述终端获得访问指定VLAN的权限,如果所述终端未通过所述身份认证,则使所述终端仅获得访问所述访客VLAN的权限。
[0014]同时,本发明还提供了一种终端准入系统,其中,该终端准入系统包括:
[0015]状态获取模块,用于获取交换机各个端口的接线状态,该接线状态包括连接状态和未连接状态;
[0016]状态识别模块,用于识别所述接线状态,当识别到所述交换机的一个端口的接线状态由未连接状态变成连接状态时,使该端口连接的终端获得访问访客VLAN的权限;
[0017]身份认证模块,用于对访问所述访客VLAN的终端进行身份认证,如果所述终端通过所述身份认证,则使所述终端获得访问指定VLAN的权限,如果所述终端未通过所述身份认证,则使所述终端仅获得访问所述访客VLAN的权限。
[0018]本发明提供的终端准入方法和系统,具备良好的网络适应性,不需要特定型号的交换机,只要交换机具备常见的网管功能和VLAN支持即可,同时不需要在终端上安装准入软件,也不需要对终端进行任何配置,就可以实现网络准入功能,准入部署实施简单方便。利用本发明提供的终端准入方法和系统,可以有效地实现对终端的准入控制,实施周期短,成本低。
【专利附图】
【附图说明】
[0019]图1是根据本发明的终端准入方法的流程图;
[0020]图2是根据本发明的终端准入系统的示意结构图;
[0021]图3是根据本发明的终端准入系统与交换机和终端计算机之间的连接示意图。【具体实施方式】
[0022]下面结合附图,详细描述本发明的实施方式。
[0023]图1是根据本发明的终端准入方法的流程图。如图1所示,本发明提供了一种终端准入方法,其中,包括以下步骤:
[0024]a)获取交换机各个端口的接线状态,该接线状态包括连接状态和未连接状态;
[0025]b)识别所述接线状态,当识别到所述交换机的一个端口的接线状态由未连接状态变成连接状态时,使该端口连接的终端获得访问访客VLAN的权限;
[0026]c)对访问所述访客VLAN的终端进行身份认证,如果所述终端通过所述身份认证,则使所述终端获得访问指定VLAN的权限,如果所述终端未通过所述身份认证,则使所述终端仅获得访问所述访客VLAN的权限。
[0027]在步骤a)中,交换机的各个端口可以连接各个终端。交换机的接线状态可以包括连接状态和未连接状态,连接状态表示该端口连接的终端已加电启动,要接入到网络中,而未连接状态表示该端口连接的终端未加电启动,不需要接入到网络中。当有新的终端加电启动要接入到网络中时,与该终端连接的交换机的端口的接线状态就会从未连接状态变为连接状态,类似的,当接入到网络中的终端断电关闭不再需要接入到网络中时,与该终端连接的交换机的端口的接线状态就会从连接状态变为未连接状态。
[0028]根据一种实施方式,可以通过接收所述交换机的snmptrp通知来获取所述交换机各个端口的接线状态。根据另一种实施方式,可以通过ssh、telnet或snmp来获取所述交换机各个端口的接线状态。[0029]在步骤b)中,识别交换机的端口的接线状态,当识别到交换机的一个端口的接线状态由未连接状态变成连接状态时,表示该端口连接的终端已上电启动,要接入到网络,这时,使得该终端获得访问guestVLAN (访客VLAN)的权限。通常,guest VLAN上的资源非常有限,而仅具有访问guest VLAN的权限的终端只能访问guest VLAN内的有限资源,不能访问其他指定VLAN中的资源。
[0030]通常,要确定一个ID值作为guest VLAN的ID值。这样,可以通过将所述端口的VLAN ID的ID值配置为所述访客VLAN的ID值,使该端口连接的终端获得访问访客VLAN的权限。
[0031]在所述步骤c)中,获得访问访客VLAN的权限的终端可以登陆进入到身份认证界面进行身份认证,在身份认证界面中需要输入诸如用户名和密码等信息,以进行身份认证。当所述终端通过所述身份认证时,就可以使所述终端获得访问指定VLAN的权限,从而可以访问该指定VLAN中的资源。当所述终端未通过所述身份认证时,终端就只能停留在guestVLAN中,不能访问其他未授权的VLAN。
[0032]根据一种实施方式,可以通过将该终端所连接到的交换机的端口的VLAN ID的ID值配置为所述指定VLAN的ID值,以允许所述终端访问指定VLAN。
[0033]利用本发明提供的终端准入方法,不需要特定型号的交换机,只要交换机具备常见的网管功能和VLAN支持即可,同时不需要在终端上安装准入软件,也不需要对终端进行任何配置,就可以实现网络准入功能。
[0034]同时,本发明还提供了 一种端准入系统,参考图2和图3,图2是根据本发明的终端准入系统的示意结构图;图3是根据本发明的终端准入系统与交换机和终端计算机之间的连接示意图。
[0035]如图2所示,根据本发明的终端准入系统包括:
[0036]状态获取模块,用于获取交换机各个端口的接线状态,该接线状态包括连接状态和未连接状态;
[0037]状态识别模块,用于识别所述接线状态,当识别到所述交换机的一个端口的接线状态由未连接状态变成连接状态时,使该端口连接的终端获得访问访客VLAN的权限;
[0038]身份认证模块,用于对访问所述访客VLAN的终端进行身份认证,如果所述终端通过所述身份认证,则允许所述终端访问指定VLAN,如果所述终端未通过所述身份认证,则使所述终端仅能访问访客VLAN。
[0039]其中,所述状态获取模块用于获取交换机各个端口的接线状态。交换机的接线状态可以包括连接状态和未连接状态,连接状态表示该端口连接的终端已加电启动,要接入到网络中,而未连接状态表示该端口连接的终端未加电启动,不需要接入到网络中。
[0040]根据一种实施方式,所述状态获取模块可以通过接收所述交换机的snmptrp通知来获取所述交换机各个端口的接线状态。根据另一种实施方式,所述状态获取模块可以通过ssh、telnet或snmp来获取所述交换机各个端口的接线状态。
[0041]所述状态识别模块识别所述接线状态,当识别到所述交换机的一个端口的接线状态由未连接状态变成连接状态时,表示该端口连接的终端已上电启动,要接入到网络,这时,可以使该端口连接的终端获得访问guest VLAN的权限。通常,guest VLAN上的资源非常有限,而仅具有访问guest VLAN的权限的终端只能访问guest VLAN内的有限资源,不能访问其他指定VLAN中的资源。
[0042]所述状态识别模块可以通过将交换机的所述端口的VLAN ID的ID值配置为所述访客VLAN的ID值,使该端口连接的终端获得访问访客VLAN的权限。
[0043]所述身份认证模块用于对访问所述guest VLAN的终端进行身份认证。例如,所述身份认证模块向获得访问访客VLAN的权限的终端提供身份认证界面,在身份认证界面中需要所述终端输入诸如用户名和密码等信息,根据该用户名和密码等信息对所述终端进行身份认证。当终端通过所述身份认证时,身份认证模块就可以使所述终端获得访问指定VLAN的权限,从而可以访问该指定VLAN中的资源。当所述终端未通过所述身份认证时,身份认证模块就使得终端就只能停留在guest VLAN中,不能访问其他未授权的VLAN。
[0044]根据一种实施方式,所述身份认证模块可以在所述终端通过所述身份认证时,将该终端连接的交换机的端口的VLAN ID的ID值配置为所述指定VLAN的ID值,以允许所述终端访问指定VLAN。
[0045]利用本发明提供的终端准入系统,不需要特定型号的交换机,也不需要在终端上安装准入软件就可以实现低成本、控制力度强的准入控制。
【权利要求】
1.一种终端准入方法,其中,包括以下步骤: a)获取交换机各个端口的接线状态,该接线状态包括连接状态和未连接状态; b)识别所述接线状态,当识别到所述交换机的一个端口的接线状态由未连接状态变成连接状态时,使该端口连接的终端获得访问访客VLAN的权限; c)对访问所述访客VLAN的终端进行身份认证,如果所述终端通过所述身份认证,则使所述终端获得访问指定VLAN的权限,如果所述终端未通过所述身份认证,则使所述终端仅获得访问所述访客VLAN的权限。
2.根据权利要求1所述的终端准入方法,其中,在所述步骤a)中,通过接收所述交换机的snmptrp通知来获取所述交换机各个端口的接线状态。
3.根据权利要求1所述的终端准入方法,其中,在所述步骤a)中,通过ssKtelnet或snmp来获取所述交换机各个端口的接线状态。
4.根据权利要求1所述的终端准入方法,其中,在所述步骤b)中,通过将所述端口的VLAN ID的ID值配置为所述访客VLAN的ID值。
5.根据权利要求4所述的终端准入方法,其中,在所述步骤c)中,如果所述终端通过所述身份认证,将所述端口的VLAN ID的ID值配置为所述指定VLAN的ID值,以允许所述终端访问指定VLAN。
6.一种终端准入系统,其中,该终端准入系统包括: 状态获取模块,用于获取交换机各个端口的接线状态,该接线状态包括连接状态和未连接状态; 状态识别模块,用于识别所述接线状态,当识别到所述交换机的一个端口的接线状态由未连接状态变成连接状态时,使该端口连接的终端获得访问访客VLAN的权限; 身份认证模块,用于对访问所述访客VLAN的终端进行身份认证,如果所述终端通过所述身份认证,则使所述终端获得访问指定VLAN的权限,如果所述终端未通过所述身份认证,则使所述终端仅获得访问所述访客VLAN的权限。
7.根据权利要求6所述的终端准入系统,其中, 所述状态获取模块通过接收所述交换机的snmptrp获取所述交换机各个端口的接线状态。
8.根据权利要求6所述的终端准入系统,其中, 所述状态获取模块通过ssh、telnet或snmp来获取所述交换机各个端口的接线状态。
9.根据权利要求8所述的终端准入系统,其中, 所述状态识别模块通过将所述端口的VLAN ID的ID值配置为所述访客VLAN的ID值。
10.根据权利要求6所述的终端准入系统,其中, 所述身份认证模块在所述终端通过所述身份认证时,将所述端口的VLAN ID的ID值配置为所述指定VLAN的ID值,以允许所述终端访问指定VLAN。
【文档编号】H04L12/46GK103795708SQ201310741892
【公开日】2014年5月14日 申请日期:2013年12月27日 优先权日:2013年12月27日
【发明者】张凤羽 申请人:北京天融信软件有限公司, 北京天融信网络安全技术有限公司, 北京天融信科技有限公司