終端準入方法及系統的製作方法
2023-10-10 08:00:54 1
終端準入方法及系統的製作方法
【專利摘要】本發明提出了一種終端準入方法和系統,所述方法包括:a)獲取交換機各個埠的接線狀態,該接線狀態包括連接狀態和未連接狀態;b)識別所述接線狀態,當識別到所述交換機的一個埠的接線狀態由未連接狀態變成連接狀態時,使該埠連接的終端獲得訪問訪客VLAN的權限;c)對訪問所述訪客VLAN的終端進行身份認證,如果所述終端通過所述身份認證,則使所述終端獲得訪問指定VLAN的權限,如果所述終端未通過所述身份認證,則使所述終端僅獲得訪問所述訪客VLAN的權限。利用本發明提供的終端準入方法和系統,可以較好地實現終端準入控制,實時簡單,成本低。
【專利說明】終端準入方法及系統
【技術領域】
[0001]本發明涉及一種終端準入方法及系統。
【背景技術】
[0002]網絡準入控制能夠在用戶進行網絡訪問之前確保用戶的身份是信任關係,只有可信賴的計算機才能接入網絡,從而防止病毒和蠕蟲等新興黑客技術對企業安全造成危害。通過準入控制,客戶可以只允許合法的、值得信任的終端設備接入網絡,而不允許其它設備接入。
[0003]目前常見的準入技術包括以下幾種:802.1x準入、DHCP準入、網關型準入和ARP準入。
[0004]802.1x的準入控制的優點是在交換機支持802.1x協議的時候,802.1x能夠真正做到了對網絡邊界的保護。缺點是不兼容老舊交換機,必須重新更換新的交換機;同時,交換機下接不啟用802.1x功能的交換機時,無法對終端進行準入控制。
[0005]DHCP的準入控制的優點是兼容老舊交換機。缺點是不如802.1x協議的控制力度強。
[0006]網關型準入控制不是嚴格意義上的準入控制。網關型準入控制沒有對終端接入網絡進行控制,而只是對終端出外網進行了控制。同時,網關型準入控制會造成出口宕掉的瓶頸效應。
[0007]ARP準入控制是通過ARP欺騙實現的。ARP欺騙實際上是一種變相病毒。容易造成網絡堵塞。由于越來越多的終端安裝的ARP防火牆,ARP準入控制在遇到這種情況下,則不能起作用。
[0008]如上所述,目前常見的準入技術部署實施困難,有些需要在終端計算機上安裝定製的準入軟體以及需要對終端進行特定的配置,有些需要特定類型的交換機或網關設備,有些則準入控制力度不強或者在某些情況下準入控制不起作用。並且,現有的準入系統在實際實施過程中,通常實施周期長,成本高。
【發明內容】
[0009]針對現有技術中存在的上述問題,本發明提出了一種終端準入方法和系統,以用於不需要特定類型的交換機或網關設備、也不需要在終端上安裝準入軟體的情況下,實現低成本、控制力度強的準入控制。
[0010]本發明提供了一種終端準入方法,其中,包括以下步驟:
[0011]a)獲取交換機各個埠的接線狀態,該接線狀態包括連接狀態和未連接狀態;
[0012]b)識別所述接線狀態,當識別到所述交換機的一個埠的接線狀態由未連接狀態變成連接狀態時,使該埠連接的終端獲得訪問訪客VLAN的權限;
[0013]c)對訪問所述訪客VLAN的終端進行身份認證,如果所述終端通過所述身份認證,則使所述終端獲得訪問指定VLAN的權限,如果所述終端未通過所述身份認證,則使所述終端僅獲得訪問所述訪客VLAN的權限。
[0014]同時,本發明還提供了一種終端準入系統,其中,該終端準入系統包括:
[0015]狀態獲取模塊,用於獲取交換機各個埠的接線狀態,該接線狀態包括連接狀態和未連接狀態;
[0016]狀態識別模塊,用於識別所述接線狀態,當識別到所述交換機的一個埠的接線狀態由未連接狀態變成連接狀態時,使該埠連接的終端獲得訪問訪客VLAN的權限;
[0017]身份認證模塊,用於對訪問所述訪客VLAN的終端進行身份認證,如果所述終端通過所述身份認證,則使所述終端獲得訪問指定VLAN的權限,如果所述終端未通過所述身份認證,則使所述終端僅獲得訪問所述訪客VLAN的權限。
[0018]本發明提供的終端準入方法和系統,具備良好的網絡適應性,不需要特定型號的交換機,只要交換機具備常見的網管功能和VLAN支持即可,同時不需要在終端上安裝準入軟體,也不需要對終端進行任何配置,就可以實現網絡準入功能,準入部署實施簡單方便。利用本發明提供的終端準入方法和系統,可以有效地實現對終端的準入控制,實施周期短,成本低。
【專利附圖】
【附圖說明】
[0019]圖1是根據本發明的終端準入方法的流程圖;
[0020]圖2是根據本發明的終端準入系統的示意結構圖;
[0021]圖3是根據本發明的終端準入系統與交換機和終端計算機之間的連接示意圖。【具體實施方式】
[0022]下面結合附圖,詳細描述本發明的實施方式。
[0023]圖1是根據本發明的終端準入方法的流程圖。如圖1所示,本發明提供了一種終端準入方法,其中,包括以下步驟:
[0024]a)獲取交換機各個埠的接線狀態,該接線狀態包括連接狀態和未連接狀態;
[0025]b)識別所述接線狀態,當識別到所述交換機的一個埠的接線狀態由未連接狀態變成連接狀態時,使該埠連接的終端獲得訪問訪客VLAN的權限;
[0026]c)對訪問所述訪客VLAN的終端進行身份認證,如果所述終端通過所述身份認證,則使所述終端獲得訪問指定VLAN的權限,如果所述終端未通過所述身份認證,則使所述終端僅獲得訪問所述訪客VLAN的權限。
[0027]在步驟a)中,交換機的各個埠可以連接各個終端。交換機的接線狀態可以包括連接狀態和未連接狀態,連接狀態表示該埠連接的終端已加電啟動,要接入到網絡中,而未連接狀態表示該埠連接的終端未加電啟動,不需要接入到網絡中。當有新的終端加電啟動要接入到網絡中時,與該終端連接的交換機的埠的接線狀態就會從未連接狀態變為連接狀態,類似的,當接入到網絡中的終端斷電關閉不再需要接入到網絡中時,與該終端連接的交換機的埠的接線狀態就會從連接狀態變為未連接狀態。
[0028]根據一種實施方式,可以通過接收所述交換機的snmptrp通知來獲取所述交換機各個埠的接線狀態。根據另一種實施方式,可以通過ssh、telnet或snmp來獲取所述交換機各個埠的接線狀態。[0029]在步驟b)中,識別交換機的埠的接線狀態,當識別到交換機的一個埠的接線狀態由未連接狀態變成連接狀態時,表示該埠連接的終端已上電啟動,要接入到網絡,這時,使得該終端獲得訪問guestVLAN (訪客VLAN)的權限。通常,guest VLAN上的資源非常有限,而僅具有訪問guest VLAN的權限的終端只能訪問guest VLAN內的有限資源,不能訪問其他指定VLAN中的資源。
[0030]通常,要確定一個ID值作為guest VLAN的ID值。這樣,可以通過將所述埠的VLAN ID的ID值配置為所述訪客VLAN的ID值,使該埠連接的終端獲得訪問訪客VLAN的權限。
[0031]在所述步驟c)中,獲得訪問訪客VLAN的權限的終端可以登陸進入到身份認證界面進行身份認證,在身份認證界面中需要輸入諸如用戶名和密碼等信息,以進行身份認證。當所述終端通過所述身份認證時,就可以使所述終端獲得訪問指定VLAN的權限,從而可以訪問該指定VLAN中的資源。當所述終端未通過所述身份認證時,終端就只能停留在guestVLAN中,不能訪問其他未授權的VLAN。
[0032]根據一種實施方式,可以通過將該終端所連接到的交換機的埠的VLAN ID的ID值配置為所述指定VLAN的ID值,以允許所述終端訪問指定VLAN。
[0033]利用本發明提供的終端準入方法,不需要特定型號的交換機,只要交換機具備常見的網管功能和VLAN支持即可,同時不需要在終端上安裝準入軟體,也不需要對終端進行任何配置,就可以實現網絡準入功能。
[0034]同時,本發明還提供了 一種端準入系統,參考圖2和圖3,圖2是根據本發明的終端準入系統的示意結構圖;圖3是根據本發明的終端準入系統與交換機和終端計算機之間的連接示意圖。
[0035]如圖2所示,根據本發明的終端準入系統包括:
[0036]狀態獲取模塊,用於獲取交換機各個埠的接線狀態,該接線狀態包括連接狀態和未連接狀態;
[0037]狀態識別模塊,用於識別所述接線狀態,當識別到所述交換機的一個埠的接線狀態由未連接狀態變成連接狀態時,使該埠連接的終端獲得訪問訪客VLAN的權限;
[0038]身份認證模塊,用於對訪問所述訪客VLAN的終端進行身份認證,如果所述終端通過所述身份認證,則允許所述終端訪問指定VLAN,如果所述終端未通過所述身份認證,則使所述終端僅能訪問訪客VLAN。
[0039]其中,所述狀態獲取模塊用於獲取交換機各個埠的接線狀態。交換機的接線狀態可以包括連接狀態和未連接狀態,連接狀態表示該埠連接的終端已加電啟動,要接入到網絡中,而未連接狀態表示該埠連接的終端未加電啟動,不需要接入到網絡中。
[0040]根據一種實施方式,所述狀態獲取模塊可以通過接收所述交換機的snmptrp通知來獲取所述交換機各個埠的接線狀態。根據另一種實施方式,所述狀態獲取模塊可以通過ssh、telnet或snmp來獲取所述交換機各個埠的接線狀態。
[0041]所述狀態識別模塊識別所述接線狀態,當識別到所述交換機的一個埠的接線狀態由未連接狀態變成連接狀態時,表示該埠連接的終端已上電啟動,要接入到網絡,這時,可以使該埠連接的終端獲得訪問guest VLAN的權限。通常,guest VLAN上的資源非常有限,而僅具有訪問guest VLAN的權限的終端只能訪問guest VLAN內的有限資源,不能訪問其他指定VLAN中的資源。
[0042]所述狀態識別模塊可以通過將交換機的所述埠的VLAN ID的ID值配置為所述訪客VLAN的ID值,使該埠連接的終端獲得訪問訪客VLAN的權限。
[0043]所述身份認證模塊用於對訪問所述guest VLAN的終端進行身份認證。例如,所述身份認證模塊向獲得訪問訪客VLAN的權限的終端提供身份認證界面,在身份認證界面中需要所述終端輸入諸如用戶名和密碼等信息,根據該用戶名和密碼等信息對所述終端進行身份認證。當終端通過所述身份認證時,身份認證模塊就可以使所述終端獲得訪問指定VLAN的權限,從而可以訪問該指定VLAN中的資源。當所述終端未通過所述身份認證時,身份認證模塊就使得終端就只能停留在guest VLAN中,不能訪問其他未授權的VLAN。
[0044]根據一種實施方式,所述身份認證模塊可以在所述終端通過所述身份認證時,將該終端連接的交換機的埠的VLAN ID的ID值配置為所述指定VLAN的ID值,以允許所述終端訪問指定VLAN。
[0045]利用本發明提供的終端準入系統,不需要特定型號的交換機,也不需要在終端上安裝準入軟體就可以實現低成本、控制力度強的準入控制。
【權利要求】
1.一種終端準入方法,其中,包括以下步驟: a)獲取交換機各個埠的接線狀態,該接線狀態包括連接狀態和未連接狀態; b)識別所述接線狀態,當識別到所述交換機的一個埠的接線狀態由未連接狀態變成連接狀態時,使該埠連接的終端獲得訪問訪客VLAN的權限; c)對訪問所述訪客VLAN的終端進行身份認證,如果所述終端通過所述身份認證,則使所述終端獲得訪問指定VLAN的權限,如果所述終端未通過所述身份認證,則使所述終端僅獲得訪問所述訪客VLAN的權限。
2.根據權利要求1所述的終端準入方法,其中,在所述步驟a)中,通過接收所述交換機的snmptrp通知來獲取所述交換機各個埠的接線狀態。
3.根據權利要求1所述的終端準入方法,其中,在所述步驟a)中,通過ssKtelnet或snmp來獲取所述交換機各個埠的接線狀態。
4.根據權利要求1所述的終端準入方法,其中,在所述步驟b)中,通過將所述埠的VLAN ID的ID值配置為所述訪客VLAN的ID值。
5.根據權利要求4所述的終端準入方法,其中,在所述步驟c)中,如果所述終端通過所述身份認證,將所述埠的VLAN ID的ID值配置為所述指定VLAN的ID值,以允許所述終端訪問指定VLAN。
6.一種終端準入系統,其中,該終端準入系統包括: 狀態獲取模塊,用於獲取交換機各個埠的接線狀態,該接線狀態包括連接狀態和未連接狀態; 狀態識別模塊,用於識別所述接線狀態,當識別到所述交換機的一個埠的接線狀態由未連接狀態變成連接狀態時,使該埠連接的終端獲得訪問訪客VLAN的權限; 身份認證模塊,用於對訪問所述訪客VLAN的終端進行身份認證,如果所述終端通過所述身份認證,則使所述終端獲得訪問指定VLAN的權限,如果所述終端未通過所述身份認證,則使所述終端僅獲得訪問所述訪客VLAN的權限。
7.根據權利要求6所述的終端準入系統,其中, 所述狀態獲取模塊通過接收所述交換機的snmptrp獲取所述交換機各個埠的接線狀態。
8.根據權利要求6所述的終端準入系統,其中, 所述狀態獲取模塊通過ssh、telnet或snmp來獲取所述交換機各個埠的接線狀態。
9.根據權利要求8所述的終端準入系統,其中, 所述狀態識別模塊通過將所述埠的VLAN ID的ID值配置為所述訪客VLAN的ID值。
10.根據權利要求6所述的終端準入系統,其中, 所述身份認證模塊在所述終端通過所述身份認證時,將所述埠的VLAN ID的ID值配置為所述指定VLAN的ID值,以允許所述終端訪問指定VLAN。
【文檔編號】H04L12/46GK103795708SQ201310741892
【公開日】2014年5月14日 申請日期:2013年12月27日 優先權日:2013年12月27日
【發明者】張鳳羽 申請人:北京天融信軟體有限公司, 北京天融信網絡安全技術有限公司, 北京天融信科技有限公司