專利名稱:一種端點(diǎn)準(zhǔn)入防御中的報文控制方法及接入設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于^:據(jù)通信技術(shù)領(lǐng)域,尤其涉及一種端點(diǎn)準(zhǔn)入防御(Endpoint Admission Defense, EAD)中的報文控制方法及接入設(shè)備。
背景技術(shù):
EAD的基本功能是通過安全客戶端、安全聯(lián)動設(shè)備(如交換機(jī)、路由器)、 安全策略服務(wù)器以及防病毒服務(wù)器、補(bǔ)丁服務(wù)器的聯(lián)動實現(xiàn)的,其基本原理如 圖1所示
(1 )用戶終端試圖接入網(wǎng)絡(luò)時,首先通過安全客戶端由安全聯(lián)動設(shè)備(接 入設(shè)備)和安全策略服務(wù)器配合進(jìn)行用戶身份認(rèn)證,非法用戶將被拒絕接入網(wǎng) 絡(luò);
(2) 安全策略服務(wù)器對合法用戶下發(fā)安全策略,并要求合法用戶進(jìn)行安 全狀態(tài)認(rèn)i正;
(3) 安全客戶端對合法用戶的補(bǔ)丁版本、病毒庫版本等進(jìn)行檢測,并將 安全策略檢查的結(jié)果上報安全策略服務(wù)器;
(4) 安全策略服務(wù)器根據(jù)檢查結(jié)果控制用戶的訪問權(quán)限 安全狀態(tài)不合格的用戶將被安全聯(lián)動設(shè)備隔離到隔離區(qū),進(jìn)入隔離區(qū)的用
戶只能訪問指定的資源,例如,補(bǔ)丁服務(wù)器、病毒服務(wù)器、內(nèi)部的FTP服務(wù) 器等(通過訪問控制列表(Access Control List, ACL )來控制),并通過訪問 這些指定的資源來進(jìn)行系統(tǒng)的修復(fù)和補(bǔ)丁、病毒庫的升級,直到安全狀態(tài)合格;
聯(lián)動設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù),此時,用戶能夠訪問大部分網(wǎng)絡(luò)資源(通 過ACL來控制)。
從EAD的主要功能和基本原理可以看出,EAD將終端防病毒、補(bǔ)丁修復(fù) 等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為 一個聯(lián) 動的安全體系,通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控,使整個網(wǎng)絡(luò)變被動防御為主動防御,變單點(diǎn)防御為全面防御,變分散管理為集中策 略管理,提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。
當(dāng)前EAD的實現(xiàn)方式,對用戶的訪問控制都是通過在接入端口下發(fā)大量
的ACL來實現(xiàn)。例如,在某個實際應(yīng)用場景下,對于每個處于隔離區(qū)的用戶
終端,需要在該用戶終端的接入端口下發(fā)如下的12條ACL來進(jìn)行訪問控制 acl number 3099 rule 0 deny ip
rule 1 permit udp destination-port eq bootps rule 2 permit udp destination-port eq bootpc rule 3 permit ip destination 10.153.0.124 0 rule 4 permit ip destination 10.153.0.123 0 rule 5 permit ip destination 10.154.240.11 0 rule 6 permit ip destination 10.72.65.36 0 rule 7 permit ip destination 10.153.0.62 0 rule 8 permit ip destination 10.153.0.60 0 rule 9 permit ip destination 10.153.0.61 0 rule 10 permit ip destination 10.72.66.36 0 rule 11 permit ip destination 10.72.66.37 0
可見,目前的實現(xiàn)過于依賴ACL。在復(fù)雜的應(yīng)用環(huán)境下,每個用戶上線 后,接入設(shè)備都要下發(fā)多條ACL, 一般可以高達(dá)10-15條。而接入設(shè)備的硬件 芯片所能支持的ACL資源有限,在每個用戶都需要接入設(shè)備下發(fā)多條ACL時, 其能夠接入的用戶數(shù)將大大減少。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種端點(diǎn)準(zhǔn)入防御中的報文控制方法 及接入設(shè)備,以減少接入設(shè)備下發(fā)ACL的數(shù)量,進(jìn)而增加接入設(shè)備對用戶終 端的接入能力。
為解決上述技術(shù)問題,本發(fā)明提供技術(shù)方案如下
一種端點(diǎn)準(zhǔn)入防御中的報文控制方法,包括如下步驟
在出端口上下發(fā)隔離類ACL和安全類ACL,所述隔離類ACL的匹配^見 則為判斷上行報文是否攜帶第一標(biāo)記,以及,該上行報文的目的地址是否為 允許的目的地址;所述安全類ACL的匹配^見則為判斷上行報文是否攜帶第二標(biāo)記,以及,該上行報文的目的地址是否為允許的目的地址;
在入端口上為未通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第一類型ACL,為通 過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第二類型ACL,所述第一類型ACL和第二類 型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地址;
對在入端口接收到的匹配第一類型ACL的上行報文設(shè)置第一標(biāo)記后轉(zhuǎn)發(fā) 到出端口,對在入端口接收到的匹配第二類型ACL的上行報文設(shè)置第二標(biāo)記 后轉(zhuǎn)發(fā)到出端口;
在出端口對匹配所述隔離類ACL或者所述安全類ACL的上行報文進(jìn)行轉(zhuǎn)發(fā)。
上述的報文控制方法,其中,所述第一標(biāo)記和第二標(biāo)記為報文的差分服務(wù) 代碼點(diǎn)(DSCP)中的優(yōu)先級,或者,為報文的802.IP協(xié)議頭中的優(yōu)先級。
上述的報文控制方法,其中,所述第一標(biāo)記和第二標(biāo)記為在報文頭中增加 的字段的值;所述方法還包括:在對匹配所述隔離類ACL或者所述安全類ACL 的上行報文進(jìn)行轉(zhuǎn)發(fā)之前,刪除該上行報文中的所述增加的字段。
上述的才艮文控制方法,其中,所述源地址為用戶終端的MAC地址。 一種端點(diǎn)準(zhǔn)入防御中的報文控制方法,包括如下步驟 在接入設(shè)備的上游設(shè)備的入端口上下發(fā)隔離類ACL和安全類ACL,所述 隔離類ACL的匹配MJ'J為判斷上行報文是否攜帶第一標(biāo)記,以及,該上行 報文的目的地址是否為允許的目的地址;所述安全類ACL的匹配規(guī)則為判 斷上行報文是否攜帶第二標(biāo)記,以及,該上行報文的目的地址是否為允許的目 的地址;
在接入設(shè)備的入端口上為未通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第 一類型 ACL,為通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第二類型ACL,所述第一類型ACL 和第二類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地址;
接入設(shè)備對在入端口接收到的匹配第一類型ACL的上行報文設(shè)置第一標(biāo) 記后轉(zhuǎn)發(fā)到出端口,對在入端口接收到的匹配第二類型ACL的上行報文設(shè)置 第二標(biāo)記后轉(zhuǎn)發(fā)到出端口,并在出端口對設(shè)置了第一、二標(biāo)記的上行報文進(jìn)行 轉(zhuǎn)發(fā);
上游設(shè)備對接收到的匹配所述隔離類ACL或者所述安全類ACL的上行報文進(jìn)行轉(zhuǎn)發(fā)。一種端點(diǎn)準(zhǔn)入防御中的接入設(shè)備,包括第一 ACL下發(fā)模塊,用于在出端口上下發(fā)隔離類ACL和安全類ACL, 所述隔離類ACL的匹配規(guī)則為判斷上行報文是否攜帶第一標(biāo)記,以及,該 上行報文的目的地址是否為允許的目的地址;所述安全類ACL的匹配規(guī)則為 判斷上行報文是否攜帶第二標(biāo)記,以及,該上行報文的目的地址是否為允許的 目的地址;第二 ACL下發(fā)模塊,用于在入端口上為未通過安全狀態(tài)認(rèn)證的用戶終端 下發(fā)第一類型ACL,為通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第二類型ACL,所 述第一類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地址; 所述第二類型ACL的匹配MJ'j為判斷上行報文的源地址是否為允許的源地址;第二 ACL處理模塊,用于對在入端口接收到的匹配第一類型ACL的上行 報文設(shè)置第一標(biāo)記后轉(zhuǎn)發(fā)到出端口,對在入端口接收到的匹配第二類型ACL 的上行報文設(shè)置第二標(biāo)記后轉(zhuǎn)發(fā)到出端口 ;第一 ACL處理模塊,用于在出端口對匹配所述隔離類ACL或者所述安全 類ACL的上行^^文進(jìn)行轉(zhuǎn)發(fā)。上述的接入設(shè)備,其中,所述第一標(biāo)記和第二標(biāo)記為報文的DSCP中的優(yōu) 先級,或者,為報文的802.1P協(xié)議頭中的優(yōu)先級。上述的接入設(shè)備,其中,所述第一標(biāo)記和第二標(biāo)記為在報文頭中增加的字 段的值;所述第一 ACL處理模塊還用于,在對匹配所述隔離類ACL或者所述 安全類ACL的上行報文進(jìn)行轉(zhuǎn)發(fā)之前,刪除該上行^f艮文中的所述增加的字段。上述的接入設(shè)備,其中所述源地址為用戶終端的MAC地址。一種端點(diǎn)準(zhǔn)入防御中的接入設(shè)備,所述接入設(shè)備的上游設(shè)備的入端口上下 發(fā)有隔離類ACL和安全類ACL,所述隔離類ACL的匹配MJ'j為判斷上行 報文是否攜帶第一標(biāo)記,以及,該上行報文的目的地址是否為允許的目的地址; 所述安全類ACL的匹配規(guī)則為判斷上行報文是否攜帶第二標(biāo)記,以及,該 上行報文的目的地址是否為允許的目的地址;所述接入設(shè)備包括ACL下發(fā)模塊,用于在入端口上為未通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第一類型ACL,為通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第二類型ACL,所述第一類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地址;所述第二類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地址;
ACL處理-漠塊,用于對在入端口接收到的匹配第一類型ACL的上行報文設(shè)置第 一標(biāo)記后轉(zhuǎn)發(fā)到出端口 ,使得所述上游設(shè)備對接收到的匹配隔離類ACL的上行報文進(jìn)行轉(zhuǎn)發(fā);以及
對在入端口接收到的匹配第二類型ACL的上行報文設(shè)置第二標(biāo)記后轉(zhuǎn)發(fā)到出端口,使得所述上游設(shè)備對接收到的匹配安全類ACL的上行報文進(jìn)行轉(zhuǎn)發(fā)。
本發(fā)明實施例通過對用戶終端進(jìn)行類劃分,并使用出端口下發(fā)ACL來對所有接入用戶進(jìn)行訪問控制,有效的減少了用戶終端EAD認(rèn)證時接入設(shè)備下發(fā)ACL的數(shù)量,進(jìn)而能夠增加接入設(shè)備對用戶終端的接入能力。
圖1為端點(diǎn)準(zhǔn)入防御的基本原理示意圖2為本發(fā)明實施例一的端點(diǎn)準(zhǔn)入防御中的報文控制方法流程圖;圖3為本發(fā)明實施例二的端點(diǎn)準(zhǔn)入防御中的報文控制方法流程圖;圖4為本發(fā)明實施例一的端點(diǎn)準(zhǔn)入防御中的接入設(shè)備的結(jié)構(gòu)示意圖;圖5為本發(fā)明實施例二的端點(diǎn)準(zhǔn)入防御中的接入設(shè)備的結(jié)構(gòu)示意圖。
具體實施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖及具體實施例對本發(fā)明進(jìn)行詳細(xì)描述。本發(fā)明實施例的關(guān)鍵在于
(1 )對用戶終端進(jìn)行類劃分隔離類、安全類,并且在接入設(shè)備的入端口 (本發(fā)明中,接入設(shè)備的入端口指用戶終端的接入端口 )使用ACL、 QoS進(jìn)行動態(tài)類標(biāo)記;
(2)在接入設(shè)備的出端口 (本發(fā)明中,接入設(shè)備的出端口指接入設(shè)備連接網(wǎng)絡(luò)側(cè)的接口,即上聯(lián)口 )進(jìn)行類控制,出端口既要下發(fā)隔離類用戶的ACL,也要下發(fā)安全類用戶的ACL,采用靜態(tài)下發(fā)即可,無需動態(tài)下發(fā),以減少接入設(shè)備中的信令交互;(3)對于不支持出端口 ACL的接入設(shè)備,可以在與之相連的上游設(shè)備的入端口靜態(tài)下發(fā)隔離類ACL和安全類ACL,即便上游設(shè)備是友商設(shè)備,也可以保證EAD的整體部署。
圖2為本發(fā)明實施例一的端點(diǎn)準(zhǔn)入防御中的報文控制方法流程圖,該方法應(yīng)用于EAD中的接入設(shè)備(即,安全聯(lián)動設(shè)備)中,包括如下步驟
步驟201:在出端口上下發(fā)隔離類ACL和安全類ACL;
其中,所述隔離類ACL的匹配規(guī)則為判斷上行報文是否攜帶第一標(biāo)記,以及,該上行報文的目的地址是否為允許的目的地址;與所述隔離類ACL關(guān)聯(lián)的處理策略為對于匹配的上行報文進(jìn)行轉(zhuǎn)發(fā)。
所述安全類ACL的匹配規(guī)則為判斷上行報文是否攜帶第二標(biāo)記,以及,該上行報文的目的地址是否為允許的目的地址;與所述安全類ACL關(guān)聯(lián)的處理策略為對于匹配的上行^R文進(jìn)行轉(zhuǎn)發(fā)。
步驟202:在入端口上為未通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第一類型ACL,為通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第二類型ACL;
EAD認(rèn)證包括身^f分認(rèn)證和安全狀態(tài)認(rèn)證。用戶終端試圖接入網(wǎng)絡(luò)時,首先進(jìn)行身份認(rèn)證如果用戶名或者密碼錯誤,不能通過802.1x或者portal認(rèn)證,判定該用戶非法,非法用戶將被拒絕接入;如果用戶名和密碼正確,則判定該用戶合法。
合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證安全策略服務(wù)器檢查用戶的補(bǔ)丁版本、病毒庫版本等是否合格,如果檢查不通過,安全策略服務(wù)器通知接入設(shè)備將該用戶放置進(jìn)隔離區(qū),只能訪問指定的資源,例如補(bǔ)丁服務(wù)器、病毒服務(wù)器、內(nèi)部的FTP服務(wù)器等。本發(fā)明和現(xiàn)有的實現(xiàn)方法的不同之處在于,對于處于隔離區(qū)的用戶,并不直接在該用戶的接入端口下發(fā)大量的ACL來進(jìn)行訪問控制,而是將其劃入到隔離類,即,為該用戶終端下發(fā)一條第一類型ACL。對于其它端口的用戶終端,如果處于隔離狀態(tài),也是將其劃入隔離類,并分別為每個隔離用戶下發(fā)一條第一類型ACL。
如果通過安全狀態(tài)認(rèn)證,安全策略服務(wù)器通知接入設(shè)備將該用戶放置進(jìn)安全區(qū),除了限定的一些訪問資源不能訪問外,能夠訪問大部分網(wǎng)絡(luò)資源。此種情況下,本發(fā)明和現(xiàn)有的實現(xiàn)方法不同之處在于,對于處于安全區(qū)的用戶,并不直接在該用戶的接入端口下發(fā)大量的ACL來進(jìn)行訪問控制,而是將其劃入到安全類,即,為該用戶終端下發(fā)一條第二類型ACL。對于其它端口的用戶終端,如果處于安全狀態(tài),也是將其劃入安全類,并分別為每個安全用戶下發(fā)一條第二類型ACL。
其中,所述第一類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地址;與所述第一類型ACL關(guān)聯(lián)的處理策略為對匹配的上行報文設(shè)置第 一標(biāo)記后轉(zhuǎn)發(fā)到出端口 。
所述第二類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地址;與所述第二類型ACL關(guān)聯(lián)的處理策略為對匹配的上行報文設(shè)置第二標(biāo)記后轉(zhuǎn)發(fā)到出端口 。
步驟203:對在入端口接收到的匹配第一類型ACL的上行報文設(shè)置第一標(biāo)記后轉(zhuǎn)發(fā)到出端口 ,對在入端口接收到的匹配第二類型ACL的上行報文設(shè)置第二標(biāo)記后轉(zhuǎn)發(fā)到出端口 ;
從入端口接收到用戶終端的上行報文后,首先進(jìn)行ACL的匹配。具體地,是將報文的源地址,例如MAC地址,與ACL中的源地址進(jìn)行匹配,如果上行報文的源地址與某條ACL中的源地址相同,則說明該上行報文與該條ACL匹配。
在上行報文與某條ACL匹配時,執(zhí)行與之關(guān)聯(lián)的處理策略。如果與第一類型ACL匹配,則在上行報文中設(shè)置第一標(biāo)記后轉(zhuǎn)發(fā)到出端口;如果與第二類型ACL匹配,則在上行報文中設(shè)置第二標(biāo)記后轉(zhuǎn)發(fā)到出端口。本發(fā)明實施例提供如下三種方式來對上行報文進(jìn)行標(biāo)記。方式一,通過差分服務(wù)代碼點(diǎn)(DSCP)的兩個優(yōu)先級進(jìn)行標(biāo)記例如,對于處于隔離區(qū)的用戶,將其上行報文的DSCP標(biāo)記為I,對于處于安全區(qū)的用戶,將其上行報文的DSCP標(biāo)記為2。標(biāo)記的動作是通過在入端口下發(fā)一條ACL來實現(xiàn),對于與該ACL匹配的上行"t艮文,根據(jù)該ACL的處理策略,將其DSCP進(jìn)行有效的標(biāo)記。采用這種方式,針對每個用戶,在入端口只需要下發(fā)一條ACL,使用QoS的標(biāo)記動作加以配合即可,相比現(xiàn)有的實現(xiàn)方式,每個用戶可以節(jié)省10多條ACL資源。方式二,通過802.1P的兩個優(yōu)先級進(jìn)行標(biāo)記例如,對于處于隔離區(qū)的用戶,將其上行報文的802.1P協(xié)議頭標(biāo)記為1,對于處于安全區(qū)的用戶,將其上行報文的802.1P協(xié)議頭標(biāo)記為2。標(biāo)記的動作是通過在入端口下發(fā)一條ACL來實現(xiàn),對于與該ACL匹配的上行報文,根據(jù)該ACL的處理策略,將其802.1P協(xié)議頭進(jìn)行有效的標(biāo)記。采用這種方式,針對每個用戶,在入端口只需要下發(fā)一條ACL,使用QoS的標(biāo)記動作加以配合即可,相比現(xiàn)有的實現(xiàn)方式,每個用戶可以節(jié)省10多條ACL資源。
方式三,通過在上行報文的報文頭中增加一個字段進(jìn)行標(biāo)記
例如,對于處于隔離區(qū)的用戶,在其上行報文的報文頭中增加一個字段,且將該字段標(biāo)記為1,對于處于安全區(qū)的用戶,在其上行報文的報文頭中增加一個字段,且將該字段標(biāo)記為2。標(biāo)記的動作是通過在入端口下發(fā)一條ACL來實現(xiàn),對于與該ACL匹配的上行報文,根據(jù)該ACL的處理策略,對其報文頭中增加的字段進(jìn)行有效的標(biāo)記。采用這種方式,針對每個用戶,在入端口只需要下發(fā)一條ACL,使用QoS的標(biāo)記動作加以配合即可,相比現(xiàn)有的實現(xiàn)方式,每個用戶可以節(jié)省IO多條ACL資源。
步驟204:在出端口對匹配所述隔離類ACL或者所述安全類ACL的上行報文進(jìn)行轉(zhuǎn)發(fā)。
在出端口對用戶終端的上行報文進(jìn)行ACL的匹配。具體地,是將報文中攜帶的標(biāo)記與ACL中的標(biāo)記進(jìn)行比較,將報文的目的地址與ACL中的目的地址進(jìn)行比較,如果上行報文攜帶的標(biāo)記與某條ACL中的標(biāo)記相同,并且該上行報文的目的地址與該條ALC中的目的地址相同,則說明該上行報文與該條ACL匹配。在上行報文與某條ACL匹配時,執(zhí)行與之關(guān)聯(lián)的處理策略,即,對該上行報文進(jìn)行轉(zhuǎn)發(fā)。
需要說明的是,對于前述的通過在上行報文的報文頭中增加一個字段進(jìn)行標(biāo)記的情況,該字段的增加不能影響報文的正常轉(zhuǎn)發(fā)。因此,在步驟201中,此種情況對應(yīng)的隔離類ACL和安全類ACL的處理策略為對于匹配的上行報文,刪除該上行報文中的所述增加的字段后進(jìn)行轉(zhuǎn)發(fā)。在本步驟中,對于匹配的上行報文,執(zhí)行該種情形下的處理策略。
實施例一要求接入設(shè)備的入端口和出端口都支持ACL,對于不支持出端口ACL的接入設(shè)備,本發(fā)明還提供如下的實施例二,即,在與該接入設(shè)備相連的上游設(shè)備的入端口靜態(tài)下發(fā)隔離類ACL和安全類ACL。
圖3為本發(fā)明實施例二的端點(diǎn)準(zhǔn)入防御中的報文控制方法流程圖,該方法
應(yīng)用于EAD中的接入設(shè)備及與該接入設(shè)備相連的上游設(shè)備中,包括如下步驟 步驟301:在接入設(shè)備的上游設(shè)備的入端口上下發(fā)隔離類ACL和安全類
ACL;
其中,所述隔離類ACL的匹配規(guī)則為判斷上行報文是否攜帶第一標(biāo)記, 以及,該上行報文的目的地址是否為允許的目的地址;與所述隔離類ACL關(guān) 聯(lián)的處理策略為對于匹配的上行報文進(jìn)行轉(zhuǎn)發(fā)。
所述安全類ACL的匹配規(guī)則為判斷上行報文是否攜帶第二標(biāo)記,以及, 該上行報文的目的地址是否為允許的目的地址;與所述安全類ACL關(guān)聯(lián)的處 理策略為對于匹配的上行報文進(jìn)行轉(zhuǎn)發(fā)。
步驟302:在4妻入設(shè)備的入端口上為未通過安全狀態(tài)認(rèn)證的用戶終端下發(fā) 第一類型ACL,為通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第二類型ACL;
其中,所述第一類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為 允許的源地址;與所述第一類型ACL關(guān)聯(lián)的處理策略為對匹配的上行報文 設(shè)置第 一標(biāo)記后轉(zhuǎn)發(fā)到出端口 。
所述第二類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的 源地址;與所述第二類型ACL關(guān)聯(lián)的處理策略為對匹配的上行報文設(shè)置第 二標(biāo)記后轉(zhuǎn)發(fā)到出端口。
步驟303:接入設(shè)備對在入端口接收到的匹配第一類型ACL的上行報文 設(shè)置第一標(biāo)記后轉(zhuǎn)發(fā)到出端口,對在入端口接收到的匹配第二類型ACL的上 行報文設(shè)置第二標(biāo)記后轉(zhuǎn)發(fā)到出端口,并在出端口對設(shè)置了第一、二標(biāo)記的上 行報文進(jìn)行轉(zhuǎn)發(fā);
從入端口接收到用戶終端的上行報文后,首先進(jìn)行ACL的匹配。具體地, 是將報文的源地址,例如MAC地址,與ACL中的源地址進(jìn)行匹配,如果上 行報文的源地址與某條ACL中的源地址相同,則說明該上行報文與該條ACL 匹配。
在上行報文與某條ACL匹配時,執(zhí)行與之關(guān)聯(lián)的處理策略。如果與第一 類型ACL匹配,則在上行報文中設(shè)置第一標(biāo)記后轉(zhuǎn)發(fā)到出端口;如果與第二類型ACL匹配,則在上行報文中設(shè)置第二標(biāo)記后轉(zhuǎn)發(fā)到出端口 。 對上行報文進(jìn)行標(biāo)記的方式請參見實施例一。
在接入設(shè)備的出端口對設(shè)置了第一、二標(biāo)記的上行報文進(jìn)行轉(zhuǎn)發(fā),即,將 該上行報文發(fā)送到與之相連的上游設(shè)備的入接口 。
步驟304:上游設(shè)備對接收到的匹配所述隔離類ACL或者所述安全類ACL 的上行^^艮文進(jìn)行轉(zhuǎn)發(fā)。
上游設(shè)備在入端口對用戶終端的上行報文進(jìn)行ACL的匹配。具體地,是 將報文中攜帶的標(biāo)記與ACL中的標(biāo)記進(jìn)行比較,將報文的目的地址與ACL中 的目的地址進(jìn)行比較,如果上行報文攜帶的標(biāo)記與某條ACL中的標(biāo)記相同, 并且該上行報文的目的地址與該條ALC中的目的地址相同,則說明該上行報 文與該條ACL匹配。在上行報文與某條ACL匹配時,執(zhí)行與之關(guān)聯(lián)的處理策 略,即,對該上行才艮文進(jìn)行轉(zhuǎn)發(fā)。
需要說明的是,對于前述的通過在上行報文的報文頭中增加一個字段進(jìn)行 標(biāo)記的情況,該字段的增加不能影響報文的正常轉(zhuǎn)發(fā)。因此,在步驟301中, 此種情況對應(yīng)的隔離類ACL和安全類ACL的處理策略為對于匹配的上行報 文,刪除該上4亍才艮文中的所述增加的字段后進(jìn)行轉(zhuǎn)發(fā)。在本步驟中,對于匹配 的上行報文,執(zhí)行該種情形下的處理策略。
以下對實現(xiàn)上述方法的接入設(shè)備進(jìn)行描述。
參照圖4,本發(fā)明實施例一的端點(diǎn)準(zhǔn)入防御中的接入設(shè)備,包括
第一 ACL下發(fā)模塊,用于在出端口上下發(fā)隔離類ACL和安全類ACL;
其中,所述隔離類ACL的匹配規(guī)則為判斷上行報文是否攜帶第一標(biāo)記, 以及,該上行"R文的目的地址是否為允許的目的地址;與所述隔離類ACL關(guān) 聯(lián)的處理策略為對于匹配的上行報文進(jìn)行轉(zhuǎn)發(fā);
所述安全類ACL的匹配規(guī)則為判斷上行報文是否攜帶第二標(biāo)記,以及, 該上行^J艮文的目的地址是否為允許的目的地址;與所述安全類ACL關(guān)聯(lián)的處 理策略為對于匹配的上行#>文進(jìn)行轉(zhuǎn)發(fā)。
第二 ACL下發(fā)模塊,用于在入端口上為未通過安全狀態(tài)認(rèn)證的用戶終端 下發(fā)第一類型ACL,為通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第二類型ACL;
其中,所述第一類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地址;與所述第一類型ACL關(guān)聯(lián)的處理策略為對匹配的上行報文 設(shè)置第 一標(biāo)記后轉(zhuǎn)發(fā)到出端口 ;
所述第二類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的 源地址;與所述第二類型ACL關(guān)聯(lián)的處理策略為對匹配的上行報文設(shè)置第 二標(biāo)記后轉(zhuǎn)發(fā)到出端口。
第二 ACL處理模塊,用于對在入端口接收到的匹配第一類型ACL的上行 報文設(shè)置第一標(biāo)記后轉(zhuǎn)發(fā)到出端口,對在入端口接收到的匹配第二類型ACL 的上行報文設(shè)置第二標(biāo)記后轉(zhuǎn)發(fā)到出端口 ;
第一 ACL處理模塊,用于在出端口對匹配所述隔離類ACL或者所述安全 類ACL的上行報文進(jìn)行轉(zhuǎn)發(fā)。
其中,所述第一標(biāo)記和第二標(biāo)記可以為報文的DSCP中的優(yōu)先級,或者, 為報文的802.1P協(xié)議頭中的優(yōu)先級。
所述第一標(biāo)記和第二標(biāo)記也可以為在報文頭中增加的字段的值。此種情況 對應(yīng)的隔離類ACL和安全類ACL的處理策略為對于匹配的上行報文,刪除 該上行報文中的所述增加的字段后進(jìn)行轉(zhuǎn)發(fā)。因此,所述第一ACL處理模塊 還用于,在對匹配所述隔離類ACL或者所述安全類ACL的上行報文進(jìn)行轉(zhuǎn)發(fā) 之前,刪除該上行報文中的所述增加的字段。
圖5為本發(fā)明實施例二的端點(diǎn)準(zhǔn)入防御中的接入設(shè)備的結(jié)構(gòu)示意圖,所述 接入設(shè)備的上游設(shè)備的入端口上下發(fā)有隔離類ACL和安全類ACL,所述隔離 類ACL的匹配規(guī)則為判斷上行報文是否攜帶第一標(biāo)記,以及,該上行報文 的目的地址是否為允許的目的地址;所述安全類ACL的匹配規(guī)則為判斷上 行報文是否攜帶第二標(biāo)記,以及,該上行報文的目的地址是否為允許的目的地 址;所述接入設(shè)備包括
ACL下發(fā)^^莫塊,用于在入端口上為未通過安全狀態(tài)認(rèn)證的用戶終端下發(fā) 第一類型ACL,為通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第二類型ACL,所述第 一類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地址;所 述第二類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地址;
ACL處理模塊,用于對在入端口接收到的匹配第一類型ACL的上行報文 設(shè)置第 一標(biāo)記后轉(zhuǎn)發(fā)到出端口 ,使得所述上游設(shè)備對接收到的匹配隔離類ACL的上行報文進(jìn)行轉(zhuǎn)發(fā);以及
對在入端口接收到的匹配第二類型ACL的上行報文設(shè)置第二標(biāo)記后轉(zhuǎn)發(fā) 到出端口,使得所述上游設(shè)備對接收到的匹配安全類ACL的上行報文進(jìn)行轉(zhuǎn) 發(fā)。
下面以通過DSCP的兩個優(yōu)先級對隔離類和安全類進(jìn)行標(biāo)記為例,來說明 本發(fā)明的有益效果。
本發(fā)明中,無論是隔離類用戶還是安全類用戶,對其的訪問控制都是放在
接入設(shè)備的出端口 (上聯(lián)口)來進(jìn)行的,因為用戶訪問網(wǎng)絡(luò)必將通過出端口轉(zhuǎn)
發(fā)出去。在出端口,下發(fā)如下的隔離類ACL: acl number 3099 rule 0 deny ip
rule 1 permit udp destination-port eq bootps rule 2 permit udp destination-port eq bootpc rule 3 permit ip dscpl destination 10.153.0.124 0 rule 4 permit ip dscpl destination 10.153.0.123 0 rule 5 permit ip dscpl destination 10.154.240.11 0 rule 6 permit ip dscpl destination 10.72.65.36 0 rule 7 permit ip dscpl destination 10.153.0.62 0 rule 8 permit ip dscpl destination 10.153.0.60 0 rule 9 permit ip dscpl destination 10.153.0.61 0 rule 10 permit ip dscpl destination 10.72.66.36 0
rule 11 permit ip dscpl destination 10.72.66.37 0
對于安全類用戶,實現(xiàn)方法與隔離類用戶類似,其標(biāo)記字段為dscp2。如 果接入設(shè)備有多個出端口,需要在這些出端口上都下發(fā)相應(yīng)的隔離類ACL和 安全類ACL。
上述在出端口下發(fā)的ACL雖然和現(xiàn)有技術(shù)中在入端口下發(fā)的ACL類似, 但是,現(xiàn)有技術(shù)是在入端口針對每個用戶動態(tài)下發(fā)多條ACL;而本發(fā)明是在 出端口靜態(tài)下發(fā)隔離類ACL和安全類ACL,其中,隔離類ACL是針對所有 隔離類用戶的,安全類ACL是針對所有安全類用戶的。本發(fā)明由于不需要針 對每個用戶下發(fā)ACL,因此,能夠節(jié)省接入設(shè)備的ACL資源。
以隔離類用戶需要下發(fā)12條ACL,安全類用戶需要下發(fā)8條ACL為例,當(dāng)有IO個接入用戶的時候,將本發(fā)明的技術(shù)方案與現(xiàn)有方案使用ACL資源的 情況對比如下
(1) 最使用ACL資源的是所有用戶都處于隔離狀態(tài),現(xiàn)有技術(shù)需要在每 個用戶的接入端口分別下發(fā)12條ACL,總共需要下發(fā)120條ACL;而本發(fā)明 只需要在每個用戶的接入端口下發(fā)1條ACL,在出端口即上聯(lián)口下發(fā)12+8=20 條ACL,總共需要下發(fā)10 x 1+20=30條ACL,與現(xiàn)有技術(shù)相比,節(jié)省了 120 —30=90條ACL。
(2) 最節(jié)省A(X資源的是所有用戶都處于安全狀態(tài),現(xiàn)有技術(shù)需要在每 個用戶的接入端口分別下發(fā)8條ACL,總共需要下發(fā)80條ACL而;本發(fā)明 只需下發(fā)30條ACL,與現(xiàn)有技術(shù)相比,節(jié)省了 80 - 30=50條ACL。
當(dāng)接入設(shè)備上聯(lián)口較多時,對于本發(fā)明而言,消耗的出端口ACL資源會 增加,但是,如果接入用戶數(shù)比較多,本發(fā)明相對于現(xiàn)有技術(shù)仍然能夠節(jié)省較 多的ACL資源。
最后應(yīng)當(dāng)說明的是,以上實施例僅用以說明本發(fā)明的技術(shù)方案而非限制, 本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,可以對本發(fā)明的技術(shù)方案進(jìn)行修改或者等同 替換,而不脫離本發(fā)明技術(shù)方案的精神范圍,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求 范圍當(dāng)中。
權(quán)利要求
1.一種端點(diǎn)準(zhǔn)入防御中的報文控制方法,其特征在于,包括如下步驟在出端口上下發(fā)隔離類訪問控制列表ACL和安全類ACL,所述隔離類ACL的匹配規(guī)則為判斷上行報文是否攜帶第一標(biāo)記,以及,該上行報文的目的地址是否為允許的目的地址;所述安全類ACL的匹配規(guī)則為判斷上行報文是否攜帶第二標(biāo)記,以及,該上行報文的目的地址是否為允許的目的地址;在入端口上為未通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第一類型ACL,為通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第二類型ACL,所述第一類型ACL和第二類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地址;對在入端口接收到的匹配第一類型ACL的上行報文設(shè)置第一標(biāo)記后轉(zhuǎn)發(fā)到出端口,對在入端口接收到的匹配第二類型ACL的上行報文設(shè)置第二標(biāo)記后轉(zhuǎn)發(fā)到出端口;在出端口對匹配所述隔離類ACL或者所述安全類ACL的上行報文進(jìn)行轉(zhuǎn)發(fā)。
2. 如權(quán)利要求1所述的報文控制方法,其特征在于 所述第一標(biāo)記和第二標(biāo)記為報文的差分服務(wù)代碼點(diǎn)DSCP中的優(yōu)先級,或者,為報文的802.1P協(xié)議頭中的優(yōu)先級。
3. 如權(quán)利要求1所述的報文控制方法,其特征在于 所述第一標(biāo)記和第二標(biāo)記為在報文頭中增加的字段的值; 所述方法還包括在對匹配所述隔離類ACL或者所述安全類ACL的上行報文進(jìn)行轉(zhuǎn)發(fā)之前,刪除該上行報文中的所述增加的字段。
4. 如權(quán)利要求1所述的報文控制方法,其特征在于 所述源地址為用戶終端的MAC地址。
5. —種端點(diǎn)準(zhǔn)入防御中的報文控制方法,其特征在于,包括如下步驟 在接入設(shè)備的上游設(shè)備的入端口上下發(fā)隔離類ACL和安全類ACL,所述隔離類ACL的匹配規(guī)則為判斷上行報文是否攜帶第一標(biāo)記,以及,該上行 報文的目的地址是否為允許的目的地址;所迷安全類ACL的匹配規(guī)則為判 斷上行報文是否攜帶第二標(biāo)記,以及,該上行報文的目的地址是否為允許的目的地址;在接入設(shè)備的入端口上為未通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第 一類型ACL,為通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第二類型ACL,所述第一類型ACL 和第二類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地址; 接入設(shè)備對在入端口接收到的匹配第一類型ACL的上行報文設(shè)置第一標(biāo) 記后轉(zhuǎn)發(fā)到出端口,對在入端口接收到的匹配第二類型ACL的上行報文設(shè)置 第二標(biāo)記后轉(zhuǎn)發(fā)到出端口,并在出端口對設(shè)置了第一、二標(biāo)記的上行報文進(jìn)行轉(zhuǎn)發(fā);上游設(shè)備對接收到的匹配所述隔離類ACL或者所述安全類ACL的上行報 文進(jìn)行轉(zhuǎn)發(fā)。
6. —種端點(diǎn)準(zhǔn)入防御中的接入設(shè)備,其特征在于,包括第一 ACL下發(fā)模塊,用于在出端口上下發(fā)隔離類ACL和安全類ACL, 所述隔離類ACL的匹配規(guī)則為判斷上行"^艮文是否攜帶第一標(biāo)記,以及,該 上行報文的目的地址是否為允許的目的地址;所述安全類ACL的匹配規(guī)則為 判斷上行"R文是否攜帶第二標(biāo)記,以及,該上行報文的目的地址是否為允許的 目的地址;第二 ACL下發(fā);f莫塊,用于在入端口上為未通過安全狀態(tài)認(rèn)證的用戶終端 下發(fā)第一類型ACL,為通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第二類型ACL,所 述第一類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地址; 所述第二類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地 址;第二 ACL處理模塊,用于對在入端口接收到的匹配第一類型ACL的上行 報文設(shè)置第一標(biāo)記后轉(zhuǎn)發(fā)到出端口,對在入端口接收到的匹配第二類型ACL 的上行報文設(shè)置第二標(biāo)記后轉(zhuǎn)發(fā)到出端口 ;第一 ACL處理模塊,用于在出端口對匹配所述隔離類ACL或者所述安全 類ACL的上行報文進(jìn)行轉(zhuǎn)發(fā)。
7. 如權(quán)利要求6所述的接入設(shè)備,其特征在于所述第一標(biāo)記和第二標(biāo)記為報文的DSCP中的優(yōu)先級,或者,為報文的 802.1P協(xié)議頭中的優(yōu)先級。
8. 如權(quán)利要求6所述的接入設(shè)備,其特征在于 所述第一標(biāo)記和第二標(biāo)記為在報文頭中增加的字段的值;所述第一 ACL處理才莫塊還用于,在對匹配所述隔離類ACL或者所述安全 類ACL的上行4艮文進(jìn)行轉(zhuǎn)發(fā)之前,刪除該上行報文中的所述增加的字段。
9. 如權(quán)利要求6所述的接入設(shè)備,其特征在于 所述源地址為用戶終端的MAC地址。
10. —種端點(diǎn)準(zhǔn)入防御中的接入設(shè)備,所述接入設(shè)備的上游設(shè)備的入端口 上下發(fā)有隔離類ACL和安全類ACL,所述隔離類ACL的匹配規(guī)則為判斷 上行報文是否 >攜帶第一標(biāo)記,以及,該上行報文的目的地址是否為允許的目的 地址;所述安全類ACL的匹配規(guī)則為判斷上行報文是否攜帶第二標(biāo)記,以 及,該上行報文的目的地址是否為允許的目的地址;其特征在于,所述接入設(shè) 備包括ACL下發(fā)模塊,用于在入端口上為未通過安全狀態(tài)認(rèn)證的用戶終端下發(fā) 第一類型ACL,為通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第二類型ACL,所述第 一類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地址;所 述第二類型ACL的匹配規(guī)則為判斷上行報文的源地址是否為允許的源地址;ACL處理模塊,用于對在入端口接收到的匹配第一類型ACL的上行報文 設(shè)置第 一標(biāo)記后轉(zhuǎn)發(fā)到出端口 ,使得所述上游設(shè)備對接收到的匹配隔離類 ACL的上行才艮文進(jìn)行轉(zhuǎn)發(fā);以及對在入端口接收到的匹配第二類型ACL的上行報文設(shè)置第二標(biāo)記后轉(zhuǎn)發(fā) 到出端口 ,使得所述上游設(shè)備對接收到的匹配安全類ACL的上行報文進(jìn)行轉(zhuǎn) 發(fā)。
全文摘要
本發(fā)明提供一種端點(diǎn)準(zhǔn)入防御中的報文控制方法及接入設(shè)備。所述方法包括如下步驟在出端口上下發(fā)隔離類ACL和安全類ACL;在入端口上為未通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第一類型ACL,為通過安全狀態(tài)認(rèn)證的用戶終端下發(fā)第二類型ACL;對在入端口接收到的匹配第一類型ACL的上行報文設(shè)置第一標(biāo)記后轉(zhuǎn)發(fā)到出端口,對在入端口接收到的匹配第二類型ACL的上行報文設(shè)置第二標(biāo)記后轉(zhuǎn)發(fā)到出端口;在出端口對匹配所述隔離類ACL或者所述安全類ACL的上行報文進(jìn)行轉(zhuǎn)發(fā)。依照本發(fā)明,能夠減少接入設(shè)備下發(fā)ACL的數(shù)量,進(jìn)而能夠增加接入設(shè)備對用戶終端的接入能力。
文檔編號H04L29/06GK101631121SQ20091009172
公開日2010年1月20日 申請日期2009年8月24日 優(yōu)先權(quán)日2009年8月24日
發(fā)明者史計達(dá) 申請人:杭州華三通信技術(shù)有限公司