技術領域

本發明涉及一種終端準入方法及系統。

背景技術

網絡準入控制能夠在用戶進行網絡訪問之前確保用戶的身份是信任關系，只有可信賴的計算機才能接入網絡，從而防止病毒和蠕蟲等新興黑客技術對企業安全造成危害。通過準入控制，客戶可以只允許合法的、值得信任的終端設備接入網絡，而不允許其它設備接入。

目前常見的準入技術包括以下幾種：802.1x準入、DHCP準入、網關型準入和ARP準入。

802.1x的準入控制的優點是在交換機支持802.1x協議的時候，802.1x能夠真正做到了對網絡邊界的保護。缺點是不兼容老舊交換機，必須重新更換新的交換機；同時，交換機下接不啟用802.1x功能的交換機時，無法對終端進行準入控制。

DHCP的準入控制的優點是兼容老舊交換機。缺點是不如802.1x協議的控制力度強。

網關型準入控制不是嚴格意義上的準入控制。網關型準入控制沒有對終端接入網絡進行控制，而只是對終端出外網進行了控制。同時，網關型準入控制會造成出口宕掉的瓶頸效應。

ARP準入控制是通過ARP欺騙實現的。ARP欺騙實際上是一種變相病毒。容易造成網絡堵塞。由于越來越多的終端安裝的ARP防火墻，ARP準入控制在遇到這種情況下，則不能起作用。

如上所述，目前常見的準入技術部署實施困難，有些需要在終端計算機上安裝定制的準入軟件以及需要對終端進行特定的配置，有些需要特定類型的交換機或網關設備，有些則準入控制力度不強或者在某些情況下準入控制不起作用。并且，現有的準入系統在實際實施過程中，通常實施周期長，成本高。

發明內容

針對現有技術中存在的上述問題，本發明提出了一種終端準入方法和系統，以用于不需要特定類型的交換機或網關設備、也不需要在終端上安裝準入軟件的情況下，實現低成本、控制力度強的準入控制。

本發明提供了一種終端準入方法，其中，包括以下步驟：

a)獲取交換機各個端口的接線狀態，該接線狀態包括連接狀態和未連接狀態；

b)識別所述接線狀態，當識別到所述交換機的一個端口的接線狀態由未連接狀態變成連接狀態時，使該端口連接的終端獲得訪問訪客VLAN的權限；

c)對訪問所述訪客VLAN的終端進行身份認證，如果所述終端通過所述身份認證，則使所述終端獲得訪問指定VLAN的權限，如果所述終端未通過所述身份認證，則使所述終端僅獲得訪問所述訪客VLAN的權限。

同時，本發明還提供了一種終端準入系統，其中，該終端準入系統包括：

狀態獲取模塊，用于獲取交換機各個端口的接線狀態，該接線狀態包括連接狀態和未連接狀態；

狀態識別模塊，用于識別所述接線狀態，當識別到所述交換機的一個端口的接線狀態由未連接狀態變成連接狀態時，使該端口連接的終端獲得訪問訪客VLAN的權限；

身份認證模塊，用于對訪問所述訪客VLAN的終端進行身份認證，如果所述終端通過所述身份認證，則使所述終端獲得訪問指定VLAN的權限，如果所述終端未通過所述身份認證，則使所述終端僅獲得訪問所述訪客VLAN的權限。

本發明提供的終端準入方法和系統，具備良好的網絡適應性，不需要特定型號的交換機，只要交換機具備常見的網管功能和VLAN支持即可，同時不需要在終端上安裝準入軟件，也不需要對終端進行任何配置，就可以實現網絡準入功能，準入部署實施簡單方便。利用本發明提供的終端準入方法和系統，可以有效地實現對終端的準入控制，實施周期短，成本低。

附圖說明

圖1是根據本發明的終端準入方法的流程圖；

圖2是根據本發明的終端準入系統的示意結構圖；

圖3是根據本發明的終端準入系統與交換機和終端計算機之間的連接示意圖。

具體實施方式

下面結合附圖，詳細描述本發明的實施方式。

圖1是根據本發明的終端準入方法的流程圖。如圖1所示，本發明提供了一種終端準入方法，其中，包括以下步驟：

a)獲取交換機各個端口的接線狀態，該接線狀態包括連接狀態和未連接狀態；

b)識別所述接線狀態，當識別到所述交換機的一個端口的接線狀態由未連接狀態變成連接狀態時，使該端口連接的終端獲得訪問訪客VLAN的權限；

c)對訪問所述訪客VLAN的終端進行身份認證，如果所述終端通過所述身份認證，則使所述終端獲得訪問指定VLAN的權限，如果所述終端未通過所述身份認證，則使所述終端僅獲得訪問所述訪客VLAN的權限。