專利名稱:一種隔離內外網(wǎng)絡的方法、認證服務器及接入交換機的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡訪問控制技術領域,具體涉及一種隔離內外網(wǎng)絡的方法、 認證服務器及接入交換機。
背景技術:
隨著網(wǎng)絡技術和因特網(wǎng)技術的成熟和高速發(fā)展,越來越多的企事業(yè)單位開始組建網(wǎng)絡來實現(xiàn)辦公自動化和共享因特網(wǎng)的信息。內部網(wǎng)絡(Intranet,本文 中簡稱為內網(wǎng))相對而言是安全的,既不會受到來自外網(wǎng)(Internet,本文中簡 稱為外網(wǎng),如互聯(lián)網(wǎng))的黑客襲擊,也不會泄密。但外網(wǎng)是充斥著不安全的因 素黑客、惡意攻擊、病毒等等,時刻威脅著內網(wǎng)的安全。如果用戶在使用互 聯(lián)網(wǎng)的同時,需要訪問內網(wǎng),則可能會導致互聯(lián)網(wǎng)上的不安全因素通過用戶的 終端(如個人電腦)作為轉發(fā)橋梁,進入企業(yè)內網(wǎng),直接威脅企業(yè)的信息安全。 圖l是一種典型的終端連接內外網(wǎng)的結構示意圖。如圖1所示,終端通過 接入交換機連接到內網(wǎng),具體的,終端是連接到該接入交換機上的一個端口 , 通過該接入交換機轉發(fā)來自終端的報文,實現(xiàn)終端與其它設備的通信。圖1 中,接入交換機還可以通過出口網(wǎng)關連接到外網(wǎng),如因特網(wǎng)。圖1中只示出了 一個終端,當然接入交換機下可以接多個終端。在接入交換機和出口網(wǎng)關之間 還連接有匯聚交換機。企業(yè)用戶(終端)同時連接互聯(lián)網(wǎng)和內網(wǎng),這可能導致 互聯(lián)網(wǎng)的惡意攻擊通過終端轉發(fā)到內網(wǎng)中的內網(wǎng)服務器,帶來安全威脅。為解決上述安全問題,現(xiàn)有技術的一種解決方案是為企業(yè)建立兩套物理 隔離的網(wǎng)絡,其中一個網(wǎng)絡(這里稱為第一網(wǎng)絡)連接internet,另一個網(wǎng)絡 (這里稱為第二網(wǎng)絡)連接企業(yè)網(wǎng)絡服務器。在每一臺需要既訪問內網(wǎng)也需要 訪問外網(wǎng)的終端上,安裝雙網(wǎng)卡,其中一個網(wǎng)卡連接到上述第一網(wǎng)絡,另一網(wǎng) 卡連接到上述第二網(wǎng)絡。同時安裝雙網(wǎng)卡隔離軟件,該軟件用于保證這兩個網(wǎng) 卡不能同時工作,以此來保-〖正內、外網(wǎng)的物理隔離。上述解決方案通過將內外網(wǎng)物理隔離,其安全系數(shù)高。但是,由于需要分 別為內網(wǎng)和外網(wǎng)各建一套網(wǎng)絡,且兩個網(wǎng)絡物理隔離,這導致網(wǎng)絡拓樸復雜, 網(wǎng)絡設備成本加倍,維護工作量加倍,同時由于需要為主機配置能夠支持隔離 方式的雙網(wǎng)卡系統(tǒng)和安裝雙網(wǎng)卡設備,也會導致終端成本的增加。并且,上述 方案還要求在終端上安裝雙網(wǎng)卡隔離軟件,這也增加了用戶操作難度和網(wǎng)絡管 理復雜度。發(fā)明內容本發(fā)明所要解決的技術問題是提供一種隔離內外網(wǎng)絡的方法、認證服務器 及接入交換機,用以筒便、高效地實現(xiàn)內外網(wǎng)隔離并降低實現(xiàn)內外網(wǎng)隔離的成 本。為解決上述技術問題,本發(fā)明提供方案如下一種隔離內外網(wǎng)絡的方法,終端與接入交換機上的第一端口連接,接入交 換機連接內網(wǎng)以及通過出口網(wǎng)關連接外網(wǎng),包括步驟Sll,所述認證服務器根據(jù)所述終端通過所述出口網(wǎng)關發(fā)起的訪問外網(wǎng)的 身份認證請求,對所述終端進行訪問外網(wǎng)的身份認證;512, 在所述終端訪問外網(wǎng)的身份認證通過后,所述認證月良務器向所述出 口網(wǎng)關下發(fā)第一策略,以及根據(jù)預先保存的所述終端、所述接入交換^l和所述 第 一端口之間的關聯(lián)信息,確定所述終端對應的所述接入交換4幾和所述第 一端口,并向所述接入交換^L下發(fā)針對所述第一端口的第二策略,其中,所述第一 策略用于通知所述出口網(wǎng)關允許所述終端和外網(wǎng)進行通信,所述第二策略用于 通知所述接入交換機對于所述第一端口接收到的報文只轉發(fā)其中目的地址為 所述出口網(wǎng)關的報文。上述的方法,其中,在步驟S12之后還包括513, 所述認證服務器接收所述終端通過所述出口網(wǎng)關發(fā)送的內外網(wǎng)訪問 切換請求;S14,所述認證服務器根據(jù)所述內外網(wǎng)訪問切換請求,向所述出口網(wǎng)關下 發(fā)第三策略,以及查找所述關聯(lián)信息,確定所述終端對應的所述接入交換機和 所述第一端口,并向所述接入交換機下發(fā)針對所述第一端口的第四策略,所述第三策略用于通知所述出口網(wǎng)關阻止所述終端和外網(wǎng)進行通信,所述第四策略 用于通知所述接入交換機對于所述第 一端口接收到的報文都進行轉發(fā)。上述的方法,其中,所述步驟S11之前還包括所述認證服務器接收所述終端通過所述接入交換機發(fā)送的訪問內網(wǎng)的身 份認證請求,并接收所述接入交換機發(fā)送的所述接入交換機的標識和所述第一端口的端口號信息;所述認證服務器根據(jù)所述訪問內網(wǎng)的身份認證請求中攜帶的終端的用戶 名和內網(wǎng)訪問密碼信息對所述終端進行訪問內網(wǎng)的身份認證,以及根據(jù)所述終 端的用戶名、所述接入交換機的標識和所述第一端口的端口號信息,建立并保存所述關聯(lián)信息;所述認證服務器在所述終端訪問內網(wǎng)的身份認證通過后,向所述接入交換 機返回指示所述終端通過訪問內網(wǎng)的身份認證的第一響應消息。上述的方法,其中,所述步驟Sll中,所述認證服務器進一步根據(jù)所述訪 問外網(wǎng)的身份認證請求中攜帶的所述終端的用戶名和外網(wǎng)訪問密碼信息,進行 所述訪問外網(wǎng)的身份認證。上述的方法,其中,所述訪問內網(wǎng)的身份認證請求是802.1x認證請求, 所述訪問外網(wǎng)的身份認證請求是門戶Portal認證請求。本發(fā)明還提供了另外 一種隔離內外網(wǎng)絡的方法,終端與接入交換機上的第 一端口連接,接入交換機連接內網(wǎng)以及通過出口網(wǎng)關連接外網(wǎng),包括步驟S21,在所述終端訪問外網(wǎng)時,所述接入交換才幾對于所述第一端口接收到 的報文只轉發(fā)其中目的地址為所述出口網(wǎng)關的報文,所述出口網(wǎng)關允許所述終 端和外網(wǎng)進行通信;S22,當所述終端需要訪問內網(wǎng)時,所述認證服務器接收所述終端通過所 述出口網(wǎng)關發(fā)送的內外網(wǎng)訪問切換請求,S23,所述認證服務器根據(jù)所述內外網(wǎng)訪問切換請求,向所述出口網(wǎng)關下 發(fā)第三策略,以及查找預先保存的所述終端、所述接入交換機和所述第一端口 之間的關聯(lián)信息,確定所述終端對應的所述接入交換機和所述第一端口,并向 所述接入交換機下發(fā)針對所述第一端口的第四策略,所述第三策略用于通知所 述出口網(wǎng)關阻止所述終端和外網(wǎng)進行通信,所述第四策略用于通知所述接入交換機對于所述第 一端口接收到的報文都進行轉發(fā)。上述的方法,其中,在步驟S23之后還包括S24,所述認證服務器接收所述終端通過所述出口網(wǎng)關發(fā)起的訪問外網(wǎng)的 身份認證請求,對所述終端進行訪問外網(wǎng)的身份認證;S25,在所述終端訪問外網(wǎng)的身份認證通過后,所述認證月l務器向所述出 口網(wǎng)關下發(fā)第一策略,以及根據(jù)所述關聯(lián)信息,確定所述終端對應的所述接入 交換機和所述第 一端口 ,并向所述接入交換機下發(fā)針對所述第 一端口的第二策 略,其中,所述第一策略用于通知所述出口網(wǎng)關允許所述終端和外網(wǎng)進行通信, 所述第二策略用于通知所述接入交換機對于所述第一端口接收到的報文只轉 發(fā)其中目的地址為所述出口網(wǎng)關的報文。上述的方法,其中,所述步驟S24中,所述認證服務器進一步根據(jù)所述訪 問外網(wǎng)的身份認證請求中攜帶的所述終端的用戶名和外網(wǎng)訪問密碼信息,進行 所述訪問外網(wǎng)的身份認證。相應的,本發(fā)明還提供了一種認證服務器,包括關聯(lián)信息單元,用于保存內網(wǎng)中的終端、連接該終端的接入交換機和該接 入交換機上連接該終端的端口之間的關聯(lián)信息;認證單元,用于根據(jù)第一終端通過出口網(wǎng)關發(fā)送的訪問外網(wǎng)的身份認證請 求,對所述第一終端進行訪問外網(wǎng)的身份認證;策略下發(fā)單元,用于在所述第 一終端通過所述認證單元的訪問外網(wǎng)的身份 認證后,向所述出口網(wǎng)關發(fā)送第一策略,以及根據(jù)所述關聯(lián)信息,確定所述第 一終端對應的第一接入交換機和第一端口 ,并向所述第一接入交換機下發(fā)針對 所述第一端口的第二策略,其中,所述第一策略用于通知所述出口網(wǎng)關允許所 述第一終端和外網(wǎng)進行通信,所述第二策略用于通知所述第一接入交換機對于 所述第一端口接收到的報文,只轉發(fā)其中目的地址為所述出口網(wǎng)關的報文。本發(fā)明所述的認證服務器,其中,所述策略下發(fā)單元,還用于接收所述第 一終端通過所述出口網(wǎng)關發(fā)送的內外網(wǎng)訪問切換請求,并向所述出口網(wǎng)關下發(fā) 第三策略,以及根據(jù)所述關聯(lián)信息,向所述第一終端對應的第一接入交換機下 發(fā)針對所述第一端口的第四策略,其中,所述第三策略用于通知所述出口網(wǎng)關 阻止所述第一終端和外網(wǎng)進行通信,所述第四策略用于通知所述第一接入交換機對于所述第 一端口接收到的報文都進行轉發(fā)。本發(fā)明所述的認證服務器,其中,所述認證單元,還用于根據(jù)所述第一終 端通過所述第一接入交換機發(fā)送的訪問內網(wǎng)的身份認證請求,對第一終端進行 訪問內網(wǎng)的身份認證,并在認證通過時向所述4矣入交換機返回指示所述終端通過訪問內網(wǎng)的身份認證的第一響應消息;所述關聯(lián)信息單元,進一步用于根據(jù)所述第一接入交換機發(fā)送的所述第一 接入交換機的標識、所述第一終端的用戶名以及所述第一端口的端口號信息, 建立并保存所述關聯(lián)信息。本發(fā)明所述的認證^J"器,其中,所述認證單元,進一步用于根據(jù)所述訪 問外網(wǎng)的身份認證請求中攜帶的所述終端的用戶名和外網(wǎng)訪問密碼信息,進行 所述訪問外網(wǎng)的身份認證,以及根據(jù)所述訪問內網(wǎng)的身份認證請求中攜帶的終 端的用戶名和內網(wǎng)訪問密碼信息進行所述訪問內網(wǎng)的身份認證。本發(fā)明還提供了 一種接入交換機包括接收單元,用于接收認證服務器發(fā)送的針對本接入交換機上的第一端口的第二策略,所述第二策略是在所述第一端口連接的第一終端通過出口網(wǎng)關發(fā)起的訪問外網(wǎng)的身份認證被所述認證服務器通過以后,由所述認證服務器根據(jù)預先保存的第一終端、本接入交換機和第一端口之間的關聯(lián)信息,向所述第一終端對應的本接入交換機發(fā)送的針對第一端口的策略;端口控制單元,用于基于所述第二策略,對于所述第一端口接收到的報文,只轉發(fā)其中目的地址為所述出口網(wǎng)關的報文。本發(fā)明所述的接入交換機,其中,所述接收單元,進一步用于接收所述認 證服務器發(fā)送的針對所述第一端口的第四策略,所述第四策略是所述認證服務 器在接收到所述第一終端通過所述出口網(wǎng)關發(fā)送的內外網(wǎng)訪問切換請求后,才艮 據(jù)所述關聯(lián)信息向所述第一終端對應的本接入交換機下發(fā)的針對所述第一端 口的策略;所述端口控制單元,進一步用于基于所述第四策略,對于所述第一端口接 收到的報文都進行轉發(fā)。本發(fā)明所述的接入交換機,其中,還包括認證請求單元,用于接收所述第 一終端發(fā)送的訪問內網(wǎng)的身份認證請求,向認證服務器發(fā)送所述終端的用戶名和密碼信息請求對所述第 一終端進行訪問內網(wǎng)的身份認證,并向所述認ii服務器發(fā)送本接入交換機的標識和所述第一 端口的端口號信息;所述端口控制單元,還用于根據(jù)所述認證服務器返回的指示所述第一終端 通過訪問內網(wǎng)的身份認證的第 一響應消息,打開所述第 一端口 。從以上所述可以看出,本發(fā)明提供的隔離內外網(wǎng)絡的方法、認證服務器及 接入交換機,通過認證服務器根據(jù)預先保存的關聯(lián)信息,向終端所對應的接入 交換機下發(fā)用于控制該終端訪問內外網(wǎng)的策略,實現(xiàn)了隔離內外網(wǎng)訪問的目 的。相對于現(xiàn)有技術,本發(fā)明在現(xiàn)有網(wǎng)絡的基礎上通過平滑升級,就可以實現(xiàn) 隔離內外網(wǎng)的目的。本發(fā)明無需在終端上安裝雙網(wǎng)卡設備和雙網(wǎng)卡隔離軟件, 從而可以降低設備成本。并且,本發(fā)明網(wǎng)絡拓樸簡單,具有管理維護難度低、 易擴展等優(yōu)點。
圖1為現(xiàn)有技術的一種典型的終端連接內外網(wǎng)的結構示意圖;圖2為本發(fā)明實施例1所述隔離內外網(wǎng)絡的方法的應用環(huán)境示意圖;圖3為本發(fā)明實施例1中終端啟動后接入內網(wǎng)的流程圖;圖4為本發(fā)明實施例1中終端從訪問內網(wǎng)切換到訪問外網(wǎng)的流程圖;圖5為本發(fā)明實施例1中終端從訪問外網(wǎng)切換回訪問內網(wǎng)的流程圖;圖6為本發(fā)明實施例1中所述認證服務器的結構示意圖;圖7為本發(fā)明實施例1中所述"^妻入交換機的結構示意圖。
具體實施方式
接入交換機通過其自身的端口與終端連接,終端訪問內、外網(wǎng)的報文都需 流經(jīng)該端口。本發(fā)明無需在終端上安裝雙網(wǎng)卡和雙網(wǎng)卡隔離軟件,本發(fā)明通過 認證服務器對所述端口上的報文轉發(fā)進行控制,進而實現(xiàn)內、外網(wǎng)的隔離。以 下結合附圖通過具體實施例對本發(fā)明作進一步說明。<實施例1>圖2為本實施例所述隔離內外網(wǎng)絡的方法的應用環(huán)境示意圖。圖2中,終端通過接入交換機連接到內網(wǎng),具體的,終端是連接到該接入交換機上的一個 端口。同時,接入交換機還通過出口網(wǎng)關連接到因特網(wǎng)。在接入交換機和出口 網(wǎng)關之間還可以連接有匯聚交換機,該匯聚交換機連接有一認證服務器。具體的該認i正服務器可以是遠程認證拔號用戶力l務(RADIUS, Remote Authentication Dial-In User Service)服務器或終端訪問控制器訪問控制系統(tǒng) (TACACS, Terminal Access Controller Access Control System)月良務器。本實 施例中以RADIUS服務器為例進行說明,對于基于其它協(xié)議的認證服務器, 其實現(xiàn)原理相同。為了保證認證服務器的安全,內網(wǎng)中的終端是不知道該認證 服務器的地址,而接入交換機和出口網(wǎng)關處通常配置了認證服務器的相關信 息。因此,終端與認證服務器之間的通信,通常是通過接入交換機或出口網(wǎng)關 轉發(fā)相關報文來實現(xiàn)的。本實施例中,終端啟動后,通過訪問內網(wǎng)的身4分認證之后,該終端可以4妄 入內網(wǎng)。本實施例中訪問內網(wǎng)的身份認證采用IEEE 802.lx認證方式。802.lx 協(xié)議作為一種基于端口的局域網(wǎng)接入控制和認證技術,可以限制未經(jīng)授權的用 戶訪問企業(yè)局域網(wǎng)絡。在終端認證通過之前,接入交換機上連接該終端的端口 將保持關閉,此時802.1x協(xié)議只允許用戶的802.1x認證報文通過該端口;在 認證通過以后,端口被打開,終端正常的數(shù)據(jù)報文才可以通過該端口?;?802.1x的認證:汰術在終端和接入交換機之間《吏用基于局域網(wǎng)的擴展認證協(xié)議 (EAPoL, Extensible Authentication Protocol over LAN )傳送iU正4言息,而沖妻 入交換機和認證服務器之間通過RADIUS協(xié)議或TACACS協(xié)議傳送認證信息。 如圖3所示,本實施例中終端在啟動后接入內網(wǎng)的流程包括以下步驟 步驟31,終端啟動后,向接入交換機發(fā)送802.1x認證請求。 步驟32,接入交換機接收上述802.1x認證請求后,向RADIUS服務器請 求認證用戶身份,并將本接入交換機的標識(ID )和本接入交換機上連接所述 終端的端口信息(如該端口的端口號)發(fā)送給所述RADIUS服務器。步驟33, RADIUS服務器根據(jù)接入交換機上送的所述終端的用戶名、內 網(wǎng)訪問密碼等信息對終端進行訪問內網(wǎng)的身份認證,并返回指示終端是否通過 認證的響應消息;同時,將接入交換機的ID和端口號記錄下來,并保存該接 入交換機的ID、端口號和所述終端(例如,與所述終端的用戶名)之間的關聯(lián)信息。這里,可以在RADIUS服務器上保存一內網(wǎng)訪問權限表,該內網(wǎng)訪問權 限表中包括有能夠訪問內網(wǎng)的終端表項,每一表項中保存有終端的用戶名以及 與該終端用戶名相對應的內網(wǎng)訪問密碼。在進行上述訪問內網(wǎng)的身份認證時, 通過在內網(wǎng)訪問權限表查找是否存在與接入交換機上送的用戶名和密碼完全 一致的表項,來判斷身份認證是否通過。步驟34,接入交換機收到RADIUS服務器的響應消息,才艮據(jù)該響應消息 判斷所述終端是否通過了認證如果認證成功,則打開連接所述終端的端口, 否則,繼續(xù)保持該端口的關閉;然后向終端返回802.1x認證回應報文,用以 通知終端認i正是否成功。這樣,在終端成功通過了認證后,該終端可以通過接入交換機訪問內網(wǎng)資 源。為了避免該終端在訪問內網(wǎng)時還可以與外網(wǎng)進行通信,此時,可以通過出 口網(wǎng)關對該終端與外網(wǎng)之間的流量進行阻止,例如,對于一個新啟動的終端, 設置出口網(wǎng)關的默認處理方式是丟棄該終端的所有報文,以阻止該終端訪問外 網(wǎng);只有在出口網(wǎng)關上設置了允許來自該終端的報文通過后,該終端才可以與 外網(wǎng)進行通信。因此,通過以上步驟,可以達到終端在訪問內網(wǎng)時不能夠同時 訪問外網(wǎng)的目的。當然,這里還可以在上述步驟33中,在所述終端通過身份 認證后,所述RADIUS服務器向出口防火墻下發(fā)一個策略,用以通知出口防 火墻阻止該終端訪問外網(wǎng)的流量,從而,出口防火墻可以根據(jù)該策略,丟棄該 終端訪問外網(wǎng)的所有報文。因此,以上方案通過所述接入交換機轉發(fā)所述端口 上接收到的才艮文,并通過所述出口網(wǎng)關阻止所述終端與外網(wǎng)之間的通信,可以 實現(xiàn)終端訪問內網(wǎng)但不能訪問外網(wǎng)的目的,實現(xiàn)了內外網(wǎng)之間的隔離。由于802.1x認證過程中,接入交換機將所述終端以及連接所述終端的端 口信息發(fā)送給了認證服務器,從而,認證服務器可以根據(jù)上述信息,建立并保 存所述終端、與所述終端連接的接入交換機以及該接入交換機上連接所述終端 的端口之間的關聯(lián)信息;進而,認證服務器可以根據(jù)該關聯(lián)信息向對應的接入 交換機下發(fā)針對對應端口的策略,用以控制該端口的報文轉發(fā),這將在下文中 進行說明。本實施例中,所述終端通過以上步驟可以訪問內網(wǎng),但不能"i方問外網(wǎng)。當所述終端需要訪問外網(wǎng)時,需要通過訪問外網(wǎng)的身份認證,本實施例中采用釆用門戶(Portal)認證的方式進行訪問外網(wǎng)的身份認證。其中,出口網(wǎng)關作為 Portal網(wǎng)關,所述終端向出口網(wǎng)關發(fā)起Portal認證如果認證通過,則設置出 口防火墻允許所述終端訪問外網(wǎng);同時認證服務器向所述終端對應的接入交換 機動態(tài)下載訪問控制列表(ACL, Access Control List)策略,以要求所述終端 發(fā)出的報文只能訪問出口防火墻,其他的報文全部丟棄,從而保證所述終端在 訪問外網(wǎng)的時候,無法訪問內網(wǎng)。如圖4所示,當所述終端需要訪問外網(wǎng)時, 本實施例所述隔離內外網(wǎng)絡的方法,在所述終端從訪問內網(wǎng)切換到訪問外網(wǎng)時 包括以下步驟步驟41,在所述終端需要訪問外網(wǎng)時,所述終端向出口網(wǎng)關發(fā)送Portal 認證請求。通常是用戶通過終端上的web頁面中輸入用戶名和外網(wǎng)訪問密碼, 發(fā)起Portal認證請求。步驟42,出口網(wǎng)關接收到上述Portal認證請求后,向RADIUS服務器請 求認證用戶身份。步驟43, RADIUS服務器根據(jù)出口網(wǎng)關上送的終端的用戶名、外網(wǎng)訪問 密碼對所述終端進行身份認證如果所述終端的身份認證通過,則RADIUS 服務器向出口網(wǎng)關下發(fā)一個用于指示出口網(wǎng)關允許所述終端訪問外網(wǎng)的第一 策略,同時,根據(jù)終端的用戶名信息查找預先保存的所述關聯(lián)信息,確定該終 端對應的接入交換機的ID和對應端口,并向該對應的交換機下發(fā)針對該對應 端口的第一 ACL策略。這里,還可以在RADIUS服務器上保存一外網(wǎng)訪問權限表,該外網(wǎng)訪問 權限表中包括有能夠訪問外網(wǎng)的終端表項,每一表項中保存有終端的用戶名以 及與該終端用戶名相對應的外網(wǎng)訪問密碼。在進行上述訪問外網(wǎng)的身份認證 時,通過在外網(wǎng)訪問權限表查找是否存在與接入交換機上送的用戶名和密碼完 全一致的表項,來判斷身份認證是否通過。對于同一個用戶名,該用戶名所對 應的內網(wǎng)訪問密碼可以與該用戶名所對應的外網(wǎng)訪問密碼相同,也可以不相 同。在內、外網(wǎng)訪問密碼不同時,可以為同一終端的不同使用者設置不同的訪 問權限,例如,在^f吏用者只知道某個終端的內網(wǎng)訪問密碼時,則該使用者無法 通過外網(wǎng)訪問的身4分認證,也就無法通過該終端去訪問外網(wǎng)。步驟44,出口網(wǎng)關在收到上述第一策略之后,允許所述終端和外網(wǎng)進行 通信;該對應的交換機在接收到上述第一 ACL策略之后,在該對應端口上使 能上述ACL策略,該第一 ACL策略要求該對應的交換機對于從該對應端口進 入的報文,除了目的IP地址指向出口網(wǎng)關的報文外,其他的報文全部丟棄。這樣,通過以上步驟,所述終端可以訪問外網(wǎng)的報文,將被接入交換機轉 發(fā)到出口網(wǎng)關,然后通過出口網(wǎng)關發(fā)送到外網(wǎng),/人而所述終端可以正常訪問外 網(wǎng);而對于所述終端訪問內網(wǎng)的報文,則在接入交換機處就會被丟棄,從而也 就防止了終端在訪問外網(wǎng)的同時訪問內網(wǎng)。在所述終端能夠訪問外網(wǎng)時,如果所述終端又想訪問內網(wǎng),需要在斷開外 網(wǎng)后才允許該終端訪問內網(wǎng)。此時,如圖5所示,本實施例所述隔離內外網(wǎng)絡 的方法,在所述終端切換回訪問內網(wǎng)時,還包括以下步驟步驟51,所述終端需要恢復對內網(wǎng)的訪問時,向出口網(wǎng)關發(fā)出內外網(wǎng)訪 問切換請求,具體的可以是一個中斷Portal請求,用以要求中斷外網(wǎng)訪問,切 換回訪問內網(wǎng)的狀態(tài);步驟52,出口網(wǎng)關收到上述中斷Portal請求后,將該請求通知到RADIUS 服務器。步驟53, RADIUS服務器在接收到出口網(wǎng)關上送的所述終端的中斷Portal 請求后,向出口網(wǎng)關返回響應消息;同時,才艮據(jù)所述終端的用戶名信息查找所 述關聯(lián)信息,確定該終端對應的接入交換才幾ID和對應端口,并向該對應的交 換機下發(fā)針對該對應端口的第二 ACL策略。步驟54,出口網(wǎng)關在接收到上述響應消息后,阻止所述終端和外網(wǎng)進行 通信;接入交換機在接收到RADIUS服務器下發(fā)第二 ACL策略,并使能該第 二 ACL策略,該第二 ACL策略用于刪除先前在該對應端口上^f吏能的第一 ACL 策略,使得接入交換機恢復對該對應端口進入的報文進行正常轉發(fā)。這樣,通過上述步驟,終端又可以正常訪問內網(wǎng),而對于該終端訪問外網(wǎng) 的報文都會被出口網(wǎng)關丟棄,從而也就防止了終端在訪問內網(wǎng)的同時還能夠訪 問夕卜網(wǎng)。本實施例中,通過出口網(wǎng)關阻止或允許該終端與外網(wǎng)之間的通信,并通過 由認證服務器對終端所接入的接入交換機的報文轉發(fā)進行控制,在該終端需要上內網(wǎng)時,控制接入交換機上連接該終端的端口正常轉發(fā)報文;在該終端需要 上外網(wǎng)時,控制接入交換機上連接該終端的端口只轉發(fā)目的地址為出口網(wǎng)關的 報文,并丟棄其它才艮文,從而實現(xiàn)了內外網(wǎng)的隔離。本實施例中,通過在終端啟動后發(fā)起的802.1x認i正過程中,由接入交換 機上報自身ID以及連接終端的端口信息,RADIUS服務器據(jù)此建立并保存終 端、接入交換機和端口之間的關聯(lián)信息,從而在后續(xù)的Portal認證過程中,認 證服務器可以根據(jù)終端信息(如終端的用戶名),查找先前保存的關聯(lián)信息, 獲得該終端所對應的接入交換機以及該終端所連接的對應端口信息,進而,向 該對應的接入交換才幾下發(fā)針對對應端口的ACL策略,用以控制該對應端口的 報文轉發(fā),實現(xiàn)隔離內外網(wǎng)的目的。當然,本實施例中還可以事先根據(jù)內網(wǎng)的拓樸結構確定各終端所接入的接 入交換機以及所接入的端口信息,據(jù)此在RADIUS服務器處預先配置并保存 上述關聯(lián)信息,從而,無需在802.1x認證過程中通過接入交換機的上報來建 立和保存上述關聯(lián)信息。在后續(xù)的Portal認證過程中,可以根據(jù)預先配置的關 聯(lián)信息,確定對應的接入交換機及對應端口,進而向對應的接入交換機下發(fā)針 對對應端口的策略,實現(xiàn)報文的轉發(fā)控制,也可達到本發(fā)明的隔離內外網(wǎng)的目 的。從以上所述可以看出,本實施例不需要對現(xiàn)有網(wǎng)絡的物理拓樸做任何改 動,可以在現(xiàn)有網(wǎng)絡的基礎上通過平滑升級,就可以實現(xiàn)隔離內外網(wǎng)的目的。 相對于現(xiàn)有技術,本實施例所述方法的網(wǎng)絡拓樸簡單,具有管理難度低、易擴 展等優(yōu)點。同時,本實施例無需在終端上安裝雙網(wǎng)卡設備和雙網(wǎng)卡隔離軟件, 從而可以節(jié)約終端成本。基于上述隔離內外網(wǎng)的方法,本實施例還相應地提供了一種認證服務器和 接入交換機。如圖6所示,所述認證服務器60包括關聯(lián)信息單元61,用于保存內網(wǎng)中的終端、連接該終端的接入交換機和 該接入交換機上連接該終端的端口之間的關聯(lián)信息;認證單元62,用于根據(jù)第一終端通過出口網(wǎng)關發(fā)送的訪問外網(wǎng)的身份認 證請求,對所述第 一終端進行訪問外網(wǎng)的身份認證;策略下發(fā)單元63,用于在所述第一終端通過所述認證單元62的訪問外網(wǎng)的身份認證后,向所述出口網(wǎng)關發(fā)送第一策略,以及根據(jù)所述關聯(lián)信息,確定 所述第一終端對應的第一接入交換機和第一端口 ,并向所述第一接入交換機下 發(fā)針對所述第一端口的第二策略,其中,所述第一策略用于通知所述出口網(wǎng)關 允許所述第一終端和外網(wǎng)進行通信,所述第二策略用于通知所述第一接入交換 機對于所述第一端口接收到的報文,只轉發(fā)其中目的地址為所述出口網(wǎng)關的報文。所述策略下發(fā)單元63,還用于接收所述第一終端通過所述出口網(wǎng)關發(fā)送 的內外網(wǎng)訪問切換請求,并向所述出口網(wǎng)關下發(fā)第三策略,以及根據(jù)所述關聯(lián) 信息,向所述第 一終端對應的第一接入交換機下發(fā)針對所述第一端口的第四策 略,其中,所述第三策略用于通知所述出口網(wǎng)關阻止所述第一終端和外網(wǎng)進行 通信,所述第四策略用于通知所述第一接入交換機對于所述第一端口接收到的 報文都進行轉發(fā)。這里,所述認證單元62,還用于根據(jù)所述第一終端通過所述第一接入交 換機發(fā)送的訪問內網(wǎng)的身份認證請求,對第一終端進行訪問內網(wǎng)的身份認證, 并在認證通過時向所述接入交換機返回指示所述終端通過訪問內網(wǎng)的身份認 證的第一響應消息;具體的,所述認證單元62根據(jù)所述訪問外網(wǎng)的身份認證 請求中攜帶的所述終端的用戶名和外網(wǎng)訪問密碼信息,進行所述訪問外網(wǎng)的身 份認證,以及#^居所述訪問內網(wǎng)的身份認證請求中攜帶的終端的用戶名和內網(wǎng) 訪問密碼信息進行所述訪問內網(wǎng)的身份認證,且所述外網(wǎng)訪問密碼與所述內網(wǎng) 訪問密碼可以不相同,也可以相同。所述關聯(lián)信息單元61,進一步用于根據(jù)所述第一接入交換機發(fā)送的所述 第一接入交換機的標識、所述第一終端的用戶名以及所述第一端口的端口號信 息,建立并保存所述關聯(lián)信息。當然,所述關聯(lián)信息單元61中的關聯(lián)信息, 還可以是根據(jù)內網(wǎng)的拓樸結構,預先配置并保存的。如圖7所示,所述接入交換機70包括接收單元71,用于接收認證服務器發(fā)送的針對本接入交換機上的第一端 口的第二策略,所述第二策略是在所述第一端口連接的第一終端通過出口網(wǎng)關 發(fā)起的訪問外網(wǎng)的身份認證被所述認證服務器通過以后,由所述認證服務器根 據(jù)預先保存的第一終端、本接入交換機和第一端口之間的關聯(lián)信息,向所述第 一終端對應的本接入交換機發(fā)送的針對第一端口的策略;端口控制單元72,用于基于所述第二策略,對于所述第一端口接收到的 報文,只轉發(fā)其中目的地址為所述出口網(wǎng)關的報文,以限制第一終端訪問內網(wǎng), 允許第一終端訪問外網(wǎng)。這里,所述接收單元71,還可以進一步用于接收所述認證服務器發(fā)送的 針對所述第 一端口的第四策略,所述第四策略是所述認i正服務器在接收到所述 第一終端通過所述出口網(wǎng)關發(fā)送的外網(wǎng)訪問中斷請求后,根據(jù)所述關聯(lián)信息向 所述第一終端對應的本接入交換機下發(fā)的針對所述第一端口的策略;所述端口 控制單元72,還可以進一步基于所述第四策略,對于所述第一端口接收到的 報文都進行轉發(fā),具體的可以是刪除先前下發(fā)的第二策略以恢復正常的報文轉 發(fā)。圖7中,所述接入交換機70還包括認證請求單元73,用于接收所述第 一終端發(fā)送的訪問內網(wǎng)的身份認證請 求,并向認證服務器發(fā)送所述終端的用戶名和密碼信息請求對所述第一終端進 行訪問內網(wǎng)的身份認證,并向所述認證服務器發(fā)送本接入交換機的標識和所述 第一端口的端口號信息;所述端口控制單元,還可以用于才艮據(jù)所述認證服務器返回的指示所述第一 終端通過訪問內網(wǎng)的身份認證的第一響應消息,打開所述第一端口,以使得所 述第一端口可以正常接收第一終端發(fā)出的報文,從而本接入交換機通過轉發(fā)第 一終端發(fā)出的"^艮文,實現(xiàn)第一終端訪問內網(wǎng)。<實施例2>實施例1中,終端訪問內網(wǎng)需要通過802.1x認證,這樣可以提高內網(wǎng)訪 問的安全性,防止未經(jīng)授權的終端訪問內網(wǎng)資源。終端訪問外網(wǎng)需要通過Portal 認證,以禁止未經(jīng)4受權的用戶訪問外網(wǎng)。本實施例中不對終端訪問內網(wǎng)進行身 份認證,即在終端啟動后即可接入并訪問內網(wǎng),對于訪問外網(wǎng),與實施例1 相類似,需要進行Portal認證。本實施例所述隔離內外網(wǎng)的方法仍應用在圖2所示的環(huán)境中。所述方法具 體包括以下步驟步驟S81,預先在認證服務器處配置并保存內網(wǎng)中的終端、與該終端連接設置出口網(wǎng)關的默認處理方式對于一個新啟動的終端的默認處理是阻止該終 端與外網(wǎng)的通信。步驟S82,終端啟動后不需認證即可訪問內網(wǎng),該終端接入的接入交換枳j 正常轉發(fā)來自該終端的報文;而對于該終端訪問外網(wǎng)的報文,則在出口網(wǎng)關處 被丟棄,從而保證終端在訪問內網(wǎng)的同時不能訪問外網(wǎng)。步驟S83,當該終端需要訪問外網(wǎng)時,該終端向出口網(wǎng)關發(fā)送Portal認證 請求。通常是用戶通過該終端上的web頁面中輸入用戶名和密碼,發(fā)起Portal 認證請求。步驟S84,出口網(wǎng)關接收到上述Portal認證請求后,向RADIUS服務器請 求認證用戶身份。步驟S85, RADIUS服務器根據(jù)出口網(wǎng)關上送的終端的用戶名、密碼對所 述終端進行身份認證如果所述終端的身份認證通過,則RADIUS服務器向 出口網(wǎng)關下發(fā)一個用于指示出口網(wǎng)關允許所述終端訪問外網(wǎng)的策略,同時,根 據(jù)終端的用戶名信息查找預先保存的所述關聯(lián)信息,找到該終端對應的接入交 換機的ID和對應端口 ,并向該對應的交換機下發(fā)針對該對應端口的ACL策略。步驟S86,出口網(wǎng)關根據(jù)認證服務器發(fā)送的策略,允許所述終端和外網(wǎng)進 行通信;該對應的交換機在接收到上述ACL策略之后,在該對應端口上使能 上述ACL策略,該ACL策略要求該對應的交換機對于從該對應端口進入的報 文,除了目的IP地址指向出口網(wǎng)關的報文外,其他的報文全部丟棄。從而, 終端可以訪問外網(wǎng),{旦不能同時訪問內網(wǎng)。在此以后,如果終端還需要訪問內網(wǎng),則本實施例所述隔離內外網(wǎng)的方法 還可以包括如實施例1中的步驟51到步驟54,以將該終端從訪問外網(wǎng)切換回 i方問內網(wǎng)。綜上所述,本發(fā)明實施例所述隔離內外網(wǎng)絡的方法、認證服務器及接入交 換機,通過認證服務器根據(jù)預先保存的關聯(lián)信息,從而向終端所對應的接入交 換機下發(fā)用于控制該終端訪問內外網(wǎng)的策略,實現(xiàn)了隔離內外網(wǎng)訪問的目的。本發(fā)明所述隔離內外網(wǎng)絡的方法、認證服務器及接入交換機,并不僅僅限 于說明書和實施方式中所列運用,它完全可以被適用于各種適合本發(fā)明之領 域,對于熟悉本領域的人員而言可容易地實現(xiàn)另外的優(yōu)點和進行修改,因此在不背離權利要求及等同范圍所限定的 一般概念的精神和范圍的情況下,本發(fā)明 并不限于特定的細節(jié)、代表性的設備和這里示出與描述的圖示示例。
權利要求
1. 一種隔離內外網(wǎng)絡的方法,終端與接入交換機上的第一端口連接,接入交換機連接內網(wǎng)以及通過出口網(wǎng)關連接外網(wǎng),其特征在于,包括步驟S11,所述認證服務器根據(jù)所述終端通過所述出口網(wǎng)關發(fā)起的訪問外網(wǎng)的身份認證請求,對所述終端進行訪問外網(wǎng)的身份認證;S12,在所述終端訪問外網(wǎng)的身份認證通過后,所述認證服務器向所述出口網(wǎng)關下發(fā)第一策略,以及根據(jù)預先保存的所述終端、所述接入交換機和所述第一端口之間的關聯(lián)信息,確定所述終端對應的所述接入交換機和所述第一端口,并向所述接入交換機下發(fā)針對所述第一端口的第二策略,其中,所述第一策略用于通知所述出口網(wǎng)關允許所述終端和外網(wǎng)進行通信,所述第二策略用于通知所述接入交換機對于所述第一端口接收到的報文只轉發(fā)其中目的地址為所述出口網(wǎng)關的報文。
2. 如權利要求l所述的方法,其特征在于,在步驟S12之后還包括 S13,所述認證服務器接收所述終端通過所述出口網(wǎng)關發(fā)送的內外網(wǎng)訪問切換請求;S14,所述認證服務器根據(jù)所述內外網(wǎng)訪問切換請求,向所述出口網(wǎng)關下 發(fā)第三策略,以及查找所述關聯(lián)信息,確定所述終端對應的所述接入交換機和 所述第一端口,并向所述接入交換;K下發(fā)針對所述第一端口的第四策略,所述 第三策略用于通知所述出口網(wǎng)關阻止所述終端和外網(wǎng)進行通信,所述第四策略 用于通知所述接入交換機對于所述第 一端口接收到的^J:都進^f亍轉發(fā)。
3. 如權利要求1所述的方法,其特征在于,所述步驟Sll之前還包括 所述認證服務器接收所述終端通過所述接入交"t灸機發(fā)送的訪問內網(wǎng)的身份認證請求,并接收所述接入交換機發(fā)送的所述接入交換機的標識和所述第一 端口的端口號信息;所述認證服務器根據(jù)所述訪問內網(wǎng)的身份認證請求中攜帶的終端的用戶 名和內網(wǎng)訪問密碼信息對所述終端進行訪問內網(wǎng)的身份認證,以及才艮據(jù)所述終 端的用戶名、所述接入交換機的標識和所述第一端口的端口號信息,建立并保 存所述關聯(lián)信息;所述認證服務器在所述終端訪問內網(wǎng)的身份認證通過后,向所述接入交換 機返回指示所述終端通過訪問內網(wǎng)的身份認證的第一響應消息。
4. 如權利要求3所述的方法,其特征在于,所述步驟Sll中,所述認證服務器進一步根據(jù)所述訪問外網(wǎng)的身份認證請 求中攜帶的所述終端的用戶名和外網(wǎng)訪問密碼信息,進行所述訪問外網(wǎng)的身份 認證。
5. 如權利要求4所述的方法,其特征在于,所述訪問內網(wǎng)的身份認證請 求是802.1 x認證請求,所述訪問外網(wǎng)的身份認證請求是門戶Portal認證請求。
6. —種隔離內外網(wǎng)絡的方法,終端與接入交換機上的第一端口連接,接 入交換機連接內網(wǎng)以及通過出口網(wǎng)關連接外網(wǎng),其特征在于,包括步驟S21,在所述終端訪問外網(wǎng)時,所述接入交換機對于所述第一端口接收到 的報文只轉發(fā)其中目的地址為所述出口網(wǎng)關的報文,所述出口網(wǎng)關允許所述終 端和外網(wǎng)進行通信;522, 當所述終端需要訪問內網(wǎng)時,所述認證服務器接收所述終端通過所 述出口網(wǎng)關發(fā)送的內外網(wǎng)訪問切換請求,523, 所述認證服務器根據(jù)所述內外網(wǎng)訪問切換請求,向所述出口網(wǎng)關下 發(fā)第三策略,以及查找預先保存的所述終端、所述接入交換機和所述第一端口 之間的關聯(lián)信息,確定所述終端對應的所述接入交換機和所述第一端口,并向 所述接入交換機下發(fā)針對所述第一端口的第四策略,所述第三策略用于通知所 述出口網(wǎng)關阻止所述終端和外網(wǎng)進行通信,所述第四策略用于通知所述接入交 換機對于所述第 一端口接收到的報文都進行轉發(fā)。
7. 如權利要求6所述的方法,其特征在于,在步驟S23之后還包括 S24,所述認證服務器接收所述終端通過所述出口網(wǎng)關發(fā)起的訪問外網(wǎng)的身份認證請求,對所述終端進行訪問外網(wǎng)的身份認證;S25,在所述終端訪問外網(wǎng)的身份認證通過后,所述認證服務器向所述出 口網(wǎng)關下發(fā)第一策略,以及根據(jù)所述關聯(lián)信息,確定所述終端對應的所述接入 交換機和所述第一端口 ,并向所述接入交換機下發(fā)針對所述第一端口的第二策 略,其中,所述第一策略用于通知所述出口網(wǎng)關允許所述終端和外網(wǎng)進行通信, 所述第二策略用于通知所述接入交換機對于所述第一端口接收到的才艮文只轉發(fā)其中目的地址為所述出口網(wǎng)關的^JL。
8. 如權利要求7所述的方法,其特征在于,所述步驟S24中,所述認證服務器進一步根據(jù)所述訪問外網(wǎng)的身份認證請 求中攜帶的所述終端的用戶名和外網(wǎng)訪問密碼信息,進行所述訪問外網(wǎng)的身份 認證。
9. 一種認證服務器,其特征在于,包括關聯(lián)信息單元,用于保存內網(wǎng)中的終端、連接該終端的接入交換機和該接 入交換機上連接該終端的端口之間的關聯(lián)信息;認證單元,用于根據(jù)第一終端通過出口網(wǎng)關發(fā)送的訪問外網(wǎng)的身份認證請 求,對所述第一終端進行訪問外網(wǎng)的身份認證;策略下發(fā)單元,用于在所述第 一終端通過所述認證單元的訪問外網(wǎng)的身份 認證后,向所述出口網(wǎng)關發(fā)送第一策略,以及根據(jù)所述關聯(lián)信息,確定所述第 一終端對應的第一接入交換機和第一端口 ,并向所述第一接入交換機下發(fā)針對 所述第一端口的第二策略,其中,所述第一策略用于通知所述出口網(wǎng)關允許所 述第一終端和外網(wǎng)進行通信,所述第二策略用于通知所述第一4妄入交換機對于 所述第一端口接收到的報文,只轉發(fā)其中目的地址為所述出口網(wǎng)關的報文。
10. 如權利要求9所述的認證服務器,其特征在于, 所述策略下發(fā)單元,還用于接收所述第一終端通過所述出口網(wǎng)關發(fā)送的內外網(wǎng)訪問切換請求,并向所述出口網(wǎng)關下發(fā)第三策略,以及#>據(jù)所述關聯(lián)信息, 向所述第一終端對應的第一接入交換機下發(fā)針對所述第一端口的第四策略,其 中,所述第三策略用于通知所述出口網(wǎng)關阻止所述第一終端和外網(wǎng)進行通信, 所述第四策略用于通知所述第 一接入交換機對于所述第一端口接收到的報文 都進行轉發(fā)。
11. 如權利要求9所述的認證服務器,其特征在于,所迷認證單元,還用于根據(jù)所述第一終端通過所述第一接入交換機發(fā)送的 訪問內網(wǎng)的身份認證請求,對第 一終端進行訪問內網(wǎng)的身份認證,并在認證通 過時向所述接入交換機返回指示所述終端通過訪問內網(wǎng)的身份認證的第一響 應消息;所述關聯(lián)信息單元,進一步用于根據(jù)所述第一接入交換機發(fā)送的所述第一接入交換機的標識、所述第一終端的用戶名以及所述第一端口的端口號信息, 建立并保存所述關聯(lián)信息。
12. 如權利要求11所述的認證服務器,其特征在于,所述認證單元,進一步用于根據(jù)所述訪問外網(wǎng)的身份認證請求中攜帶的所 述終端的用戶名和外網(wǎng)訪問密碼信息,進行所述訪問外網(wǎng)的身份認證,以及根 據(jù)所述訪問內網(wǎng)的身份認證請求中攜帶的終端的用戶名和內網(wǎng)訪問密碼信息 進行所述訪問內網(wǎng)的身份認證。
13. —種接入交換機,其特征在于,包括接收單元,用于接收認證服務器發(fā)送的針對本接入交換機上的第一端口的 第二策略,所述第二策略是在所述第一端口連接的第一終端通過出口網(wǎng)關發(fā)起 的訪問外網(wǎng)的身份認證被所述認證服務器通過以后,由所述認證服務器根據(jù)預 先保存的第一終端、本接入交換機和第一端口之間的關聯(lián)信息,向所述第一終 端對應的本接入交換機發(fā)送的針對第一端口的策略;端口控制單元,用于基于所述第二策略,對于所述第一端口接收到的報文,只轉發(fā)其中目的地址為所述出口網(wǎng)關的報文。
14. 如權利要求13所述的接入交換機,其特征在于, 所述接收單元,進一步用于接收所述認證服務器發(fā)送的針對所述第一端口的第四策略,所述第四策略是所述認證服務器在接收到所述第一終端通過所述 出口網(wǎng)關發(fā)送的內外網(wǎng)訪問切換請求后,根據(jù)所述關聯(lián)信息向所述第一終端對 應的本接入交換機下發(fā)的針對所述第一端口的策略;所述端口控制單元,進一步用于基于所述第四策略,對于所述第一端口接 收到的報文都進行轉發(fā)。
15. 如權利要求13所述的接入交換機,其特征在于,還包括 認證請求單元,用于接收所述第 一終端發(fā)送的訪問內網(wǎng)的身份認證請求,向認證服務器發(fā)送所述終端的用戶名和密碼信息請求對所述第一終端進行訪問內網(wǎng)的身份認證,并向所述認證服務器發(fā)送本接入交換機的標識和所述第一 端口的端口號信息;所述端口控制單元,還用于根據(jù)所述認證服務器返回的指示所述第一終端 通過訪問內網(wǎng)的身4分認證的第 一響應消息,打開所述第 一端口 。
全文摘要
本發(fā)明提供了一種隔離內外網(wǎng)絡的方法、認證服務器及接入交換機。其中,所述方法包括步驟A.認證服務器根據(jù)所述終端的訪問外網(wǎng)的身份認證請求,對所述終端進行身份認證;B.在所述終端訪問外網(wǎng)的身份認證通過后,所述認證服務器向所述出口網(wǎng)關下發(fā)第一策略,以及根據(jù)預先保存關聯(lián)信息,確定所述終端對應的所述接入交換機和第一端口,并向所述接入交換機下發(fā)針對所述第一端口的第二策略,所述第一策略用于通知所述出口網(wǎng)關允許所述終端和外網(wǎng)進行通信,所述第二策略用于通知所述接入交換機對于所述第一端口接收到的報文只轉發(fā)其中目的地址為所述出口網(wǎng)關的報文。按照本發(fā)明,可以簡便、高效地實現(xiàn)內外網(wǎng)隔離并降低實現(xiàn)內外網(wǎng)隔離的成本。
文檔編號H04L9/32GK101277308SQ20081011248
公開日2008年10月1日 申請日期2008年5月23日 優(yōu)先權日2008年5月23日
發(fā)明者蔚 李 申請人:杭州華三通信技術有限公司