技術領域

本實用新型涉及網絡通信控制領域，特別涉及在思科環境下對網絡終端設備接入網絡的準入控制。

背景技術

隨著企事業單位信息化建設水平的逐步提高，各類應用系統相繼部署，網絡用戶在享受到信息化帶來的便捷和高效的同時，對網絡和信息系統的依賴性也日益提高，而內部網絡安全事件一旦發生，整個網絡和信息系統的故障和被破壞將給所在機構的生產和工作帶來災難性的全局停頓和無法彌補的損失。

在各種對網絡數據和信息構成的安全風險中，內部漏洞和攻擊造成的威脅遠遠大于從互聯網穿越防火墻構成的威脅，而內部漏洞和攻擊的源頭則絕大部分被追溯到接入網絡的各種終端設備。因此，對入網終端設備進行有效的接入控制和安全性檢查、隔離修復將切實有效地大大減少內部威脅造成的安全風險。

針對上述問題，目前安全業界普遍采用的是基于IEEE?802.1x協議，如圖1所示，來進行端口級別的控制，其主要控制原理為：

初始狀態下，在靠近用戶一側的以太網交換機上的所有端口均處于關閉狀態，只有EAPoL（EAP?over?LAN）數據流才能通過，其他任何類型的網絡數據流，如動態主機配置協議、超文本傳輸協議（HTTP）、文件傳輸協議（FTP）、簡單郵件傳輸協議（SMTP）和郵局協議（POP3）等都被禁止傳輸。

此時，交換機上將具有一個標準或非標準的EAP（extensible?authentication?protocol）代理，用戶PC機運行一個能夠生成EAPoL報文的客戶端與交換機通信。當用戶PC機發出攜帶用戶名和口令的EAPoL報文時，交換機將用戶提供的信息傳送到后臺的Radius認證服務器上。如果用戶名及口令通過了驗證，則相應的以太網端口打開，允許用戶訪問。

但是，基于802.1x協議的準入控制方案存在使用上的極大不便，無法在端口打開后根據用戶身份進行權限控制，另外在大部分環境下對hub的支持不足。

首先，目前所有的802.1x平臺都要求入網用戶必須安裝進行認證的EAPoL客戶端，這種情況存在許多缺陷：其一、新入網設備如果未安裝客戶端，將無法通過認證進入網絡，而此時沒有任何提示信息，所有與網絡中資源的聯系均被切斷，用戶自身無法進行任何操作，如果依靠管理員手工安裝EAPoL客戶端，工作量將十分繁重；其二、網絡中的許多非桌面型ip設備（如網絡打印機）在無法安裝客戶端的情況下將被隔離出網絡。

其次，大部分的802.1x認證都是基于端口的，認證通過后端口完全放開，無法根據入網用戶身份角色的不同進行動態的權限控制，在入網用戶權限無法規范的情況下，很容易導致內部重要資源的泄密。

而對于大部分交換機而言，標準的802.1x協議也無法解決端口下掛hub的情況。IEEE?802.1x協議是基于端口的，那么在端口下掛hub時，如果某一臺設備通過認證打開交換機端口，那么同一hub下廣播域內的所有設備均無需認證就會直接入網，這是hub環境下的控制漏洞。

最后，大部分的802.1x架構中eap包的響應和處理都是基于軟件方式的，在通用的某臺服務器上，基于window系統安裝radius程序后進行處理和控制，其響應速度和處理效率都受到整體硬件環境和操作系統的制約，無法應用于大規模、高性能要求的網絡環境中。

發明內容

針對現有技術存在網絡準入控制系統使用極不方便，無法在端口打開后根據用戶身份進行權限控制，且大部分環境下對hub的支持不足的缺陷，本實用新型提供一種對網絡終端設備進行有效的接入控制和權限管理的網絡準入控制系統。

為實現上述發明目的，本實用新型采用如下的技術方案：

思科環境下的網絡準入控制系統，包括電源、發出入網請求的終端設備、與請求的終端設備相連接的交換機，所述的交換機用于獲知發出入網請求的終端設備的狀態并產生查詢數據，還包括準入控制模塊，所述的準入控制模塊與交換機相連，用于接收和處理查詢數據、生成并傳輸應答數據到交換機，請求的終端設備與交換機之間通過數據線連接。發出入網請求的終端設備通過網線接入網絡，交換機實時發現該設備并通過預先設置的規則產生查詢數據，準入控制模塊接收到查詢數據后會產生查詢動作，按照預先設置的規則生成應答數據，并將應答數據傳輸到交換機，交換機按照應答數據的指示來決定是否準入，或采取何種準入策略。