專利名稱::一種端點(diǎn)準(zhǔn)入防御中的報(bào)文控制方法及接入設(shè)備的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明屬于數(shù)據(jù)通信
技術(shù)領(lǐng)域:
,尤其涉及一種端點(diǎn)準(zhǔn)入防御(EndpointAdmissionDefense,EAD)中的報(bào)文控制方法及接入設(shè)備。技術(shù)背景EAD的基本功能是通過安全客戶端、安全聯(lián)動(dòng)設(shè)備(如交換機(jī)、路由器)、安全策略服務(wù)器以及防病毒服務(wù)器、補(bǔ)丁服務(wù)器的聯(lián)動(dòng)實(shí)現(xiàn)的,其基本原理如圖1所示(1)用戶終端試圖接入網(wǎng)絡(luò)時(shí),首先通過安全客戶端由安全聯(lián)動(dòng)設(shè)備(接入設(shè)備)和安全策略服務(wù)器配合進(jìn)行用戶身份認(rèn)證,非法用戶將被拒絕接入網(wǎng)絡(luò);(2)安全策略服務(wù)器對(duì)合法用戶下發(fā)安全策略,并要求合法用戶進(jìn)行安全狀態(tài)認(rèn)證;(3)安全客戶端對(duì)合法用戶的補(bǔ)丁版本、病毒庫(kù)版本等進(jìn)行檢測(cè),并將安全策略^f企查的結(jié)果上報(bào)安全策略服務(wù)器;(4)安全策略服務(wù)器根據(jù)檢查結(jié)果控制用戶的訪問權(quán)限安全狀態(tài)不合格的用戶將被安全聯(lián)動(dòng)設(shè)備隔離到隔離區(qū),進(jìn)入隔離區(qū)的用戶只能訪問指定的資源,例如,補(bǔ)丁服務(wù)器、病毒服務(wù)器、內(nèi)部的FTP服務(wù)器等(通過在接入端口下發(fā)隔離訪問控制列表(AccessControlList,ACL)來(lái)控制),并通過訪問這些指定的資源來(lái)進(jìn)行系統(tǒng)的修復(fù)和補(bǔ)丁、病毒庫(kù)的升級(jí),直到安全狀態(tài)合格;聯(lián)動(dòng)設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù),此時(shí),用戶能夠訪問大部分網(wǎng)絡(luò)資源(通過通過在接入端口下發(fā)安全ACL來(lái)控制)。從EAD的主要功能和基本原理可以看出,EAD將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)威脅的整體防御能力。當(dāng)前EAD的實(shí)現(xiàn)方式,可以對(duì)用戶做到精細(xì)化的管理和控制,但其缺點(diǎn)也比較明顯對(duì)接入設(shè)備的ACL資源占用的比較多。因?yàn)楫?dāng)前的EAD方案下發(fā)隔離ACL或安全ACL時(shí),是基于用戶下發(fā)的,如果隔離ACL有5條規(guī)則,那么每個(gè)用戶要占用5條,如果有IOO個(gè)用戶上線,那么對(duì)接入設(shè)備的ACL資源消耗就是5x100=500條規(guī)則。而接入設(shè)備的硬件芯片所能支持的ACL資源有限,在每個(gè)用戶都需要接入設(shè)備下發(fā)多條ACL時(shí),其能夠接入的用戶數(shù)將大大減少。
發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問題是提供一種端點(diǎn)準(zhǔn)入防御中的報(bào)文控制方法及接入設(shè)備,以減少對(duì)接入設(shè)備ACL資源的消耗,進(jìn)而增加接入設(shè)備對(duì)用戶終端的接入能力。為解決上述技術(shù)問題,本發(fā)明提供技術(shù)方案如下一種端點(diǎn)準(zhǔn)入防御中的報(bào)文控制方法,包括如下步驟分別在接入端口和上行接口配置兩個(gè)VLAN:隔離VLAN和安全VLAN;在上行接口配置隔離類ACL和安全類ACL,所述隔離類ACL的匹配規(guī)則為判斷報(bào)文的VLAN是否為隔離VLAN,以及,報(bào)文的目的地址是否為允許的目的地址;所述安全類ACL的匹配規(guī)則為判斷報(bào)文的VLAN是否為安全VLAN,以及,報(bào)文的目的地址是否為允許的目的地址;建立用戶信息與用戶狀態(tài)的對(duì)應(yīng)關(guān)系,其中,未通過安全狀態(tài)認(rèn)證的用戶為隔離狀態(tài),通過安全狀態(tài)認(rèn)證的用戶為安全狀態(tài);對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的上行報(bào)文,將該上行報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口;對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的上行報(bào)文,將該上行報(bào)文的原始VLAN切換為安全VLAN后轉(zhuǎn)發(fā)到上行接口;對(duì)于在上行接口匹配所述隔離類ACL或者所迷安全類ACL的上行報(bào)文,將該上行報(bào)文的VLAN切換為原始VLAN后進(jìn)行轉(zhuǎn)發(fā)。上述的報(bào)文控制方法,其中,還包括對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的本地才艮文,丟棄該本地報(bào)文。上述的報(bào)文控制方法,其中,還包括對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為未知地址,或者,目的地址為廣播地址,則將該報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口。上述的報(bào)文控制方法,其中,還包括對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的本地報(bào)文,判斷該報(bào)文的目的地址對(duì)應(yīng)的用戶是否處于安全狀態(tài),若是,則將該本地報(bào)文送至對(duì)應(yīng)的接入端口進(jìn)行轉(zhuǎn)發(fā),否則,丟棄該本地報(bào)文。上述的報(bào)文控制方法,其中,還包括對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為未知地址,或者,目的地址為廣播地址,則將該報(bào)文的原始VLAN切換為安全VLAN后轉(zhuǎn)發(fā)到上行接口。上述的報(bào)文控制方法,其中,對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為廣播地址,則還將該報(bào)文送至其他的接入端口進(jìn)行轉(zhuǎn)發(fā)。一種端點(diǎn)準(zhǔn)入防御中的接入設(shè)備,包括VLAN配置模塊,用于分別在接入端口和上行接口配置兩個(gè)VLAN:隔離VLAN和安全VLAN;ACL配置模塊,用于在上行接口配置隔離類訪問控制列表ACL和安全類ACL,所述隔離類ACL的匹配規(guī)則為判斷報(bào)文的VLAN是否為隔離VLAN,以及,報(bào)文的目的地址是否為允許的目的地址;所述安全類ACL的匹配規(guī)則為判斷報(bào)文的VLAN是否為安全VLAN,以及,報(bào)文的目的地址是否為允許的目的地址;對(duì)應(yīng)關(guān)系建立模塊,用于建立用戶信息與用戶狀態(tài)的對(duì)應(yīng)關(guān)系,其中,未通過安全狀態(tài)認(rèn)證的用戶為隔離狀態(tài),通過安全狀態(tài)認(rèn)證的用戶為安全狀態(tài);VLAN切換模塊,用于對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的上行報(bào)文,將該上行報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口;對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的上行報(bào)文,將該上行報(bào)文的原始VLAN切換為安全VLAN后轉(zhuǎn)發(fā)到上行接口;ACL處理模塊,用于對(duì)于在上行接口匹配所述隔離類ACL或者所述安全類ACX的上行才艮文,將該上行4艮文的VLAN切換為原始VLAN后進(jìn)行轉(zhuǎn)發(fā)。上述的接入設(shè)備,其中,還包括第一本地報(bào)文處理模塊,用于對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的本地報(bào)文,丟棄該本地報(bào)文。上述的接入設(shè)備,其中,所迷VLAN切換模塊還用于,對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為未知地址,或者,目的地址為廣播地址,則將該報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口。上述的接入設(shè)備,其中,還包括第二本地報(bào)文處理模塊,用于對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的本地報(bào)文,判斷該報(bào)文的目的地址對(duì)應(yīng)的用戶是否處于安全狀態(tài),若是,則將該本地報(bào)文送至對(duì)應(yīng)的接入端口進(jìn)行轉(zhuǎn)發(fā),否則,丟棄該本地報(bào)文。上述的接入設(shè)備,其中,所述VLAN切換模塊還用于,對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為未知地址,或發(fā)到上行接口。上述的接入設(shè)備,其中,所述第二本地報(bào)文處理模塊還用于,對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為廣播地址,則將該報(bào)文送至其他的接入端口進(jìn)行轉(zhuǎn)發(fā)。與現(xiàn)有技術(shù)在接入端口針對(duì)每個(gè)用戶動(dòng)態(tài)下發(fā)多條ACL相比,本發(fā)明是在上行接口針對(duì)隔離VLAN和安全VLAN,靜態(tài)下發(fā)隔離類ACL和安全類ACL,如此,能夠節(jié)省接入設(shè)備的ACL資源,進(jìn)而增加接入設(shè)備對(duì)用戶終端的接入能力。圖1為端點(diǎn)準(zhǔn)入防御的基本原理示意圖;圖2為本發(fā)明實(shí)施例的端點(diǎn)準(zhǔn)入防御中的報(bào)文控制方法流程圖;圖3為本發(fā)明實(shí)施例一的端點(diǎn)準(zhǔn)入防御中的接入設(shè)備的結(jié)構(gòu)示意圖;圖4為本發(fā)明實(shí)施例二的端點(diǎn)準(zhǔn)入防御中的接入設(shè)備的結(jié)構(gòu)示意圖。具體實(shí)施方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述。本發(fā)明的關(guān)鍵在于,在接入設(shè)備中配置隔離VLAN和安全VLAN,并通過在上行接口針對(duì)VLAN下發(fā)隔離類ACL或者安全類ACL,來(lái)定義隔離區(qū)域和安全區(qū)域;用戶報(bào)文轉(zhuǎn)發(fā)時(shí),根據(jù)用戶狀態(tài)對(duì)報(bào)文的VLAN進(jìn)行切換,并在上行接口去匹配基于VLAN的ACL。圖2為本發(fā)明實(shí)施例的端點(diǎn)準(zhǔn)入防御中的報(bào)文控制方法流程圖,該方法應(yīng)用于EAD中的接入設(shè)備(即,安全聯(lián)動(dòng)設(shè)備)中,包括如下步驟步驟201:分別在接入端口和上行接口配置兩個(gè)虛擬局域網(wǎng)(VLAN):隔離VLAN和安全VLAN;為接口配置VLAN后,接口就能夠接收來(lái)自該VLAN的報(bào)文,并能夠發(fā)送報(bào)文到該VLAN。本發(fā)明中,接入端口是指接入設(shè)備的用戶側(cè)端口,用戶通過接入端口接入到接入設(shè)備,并通過接入設(shè)備與外部網(wǎng)絡(luò)進(jìn)行通信,或者通過接入設(shè)備與內(nèi)網(wǎng)中的其他用戶進(jìn)行通信。上行接口是指接入設(shè)備的網(wǎng)絡(luò)側(cè)接口,用戶訪問外部網(wǎng)絡(luò)的報(bào)文(上行報(bào)文)均通過該上行接口轉(zhuǎn)發(fā)出去。本發(fā)明中,還將用戶通口都是接入設(shè)備的接入端口。步驟202:在上行"l矣口配置隔離類ACL和安全類ACL;在接入設(shè)備的上行接口,配置基于隔離VLAN的隔離類ACL,該ACL定義隔離區(qū)域,僅允許該VLAN訪問特定的有限資源;并在該上行接口配置基于安全VLAN的安全類ACL,定義該VLAN可以訪問的安全區(qū)域。其中,所述隔離類ACL的匹配規(guī)則為判斷報(bào)文的VLAN是否為隔離VLAN,以及,報(bào)文的目的地址是否為允許的目的地址;與所述隔離類ACL關(guān)聯(lián)的處理策略為對(duì)于匹配的上行報(bào)文,將該上行報(bào)文的VLAN切換為原始VLAN后進(jìn)行轉(zhuǎn)發(fā)。所述安全類ACL的匹配規(guī)則為判斷報(bào)文的VLAN是否為安全VLAN,以及,才艮文的目的地址是否為允許的目的地址;與所述安全類ACL關(guān)聯(lián)的處理策略為對(duì)于匹配的上行報(bào)文,將該上行報(bào)文的VLAN切換為原始VLAN后進(jìn)行轉(zhuǎn)發(fā)。步驟203:建立用戶信息與用戶狀態(tài)的對(duì)應(yīng)關(guān)系;其中,所述用戶信息包括用戶VLAN、用戶地址(例如,MAC地址)和用戶接入端口;所述用戶狀態(tài)包括隔離狀態(tài)和安全狀態(tài)。未通過安全狀態(tài)認(rèn)證的用戶為隔離狀態(tài),通過安全狀態(tài)認(rèn)證的用戶為安全狀態(tài)。EAD認(rèn)證包括身^分認(rèn)證和安全狀態(tài)認(rèn)證。用戶終端試圖接入網(wǎng)絡(luò)時(shí),首先進(jìn)行身份認(rèn)證,例如,進(jìn)行基于802.1x的身份認(rèn)證如果用戶名或者密碼錯(cuò)誤,不能通過802.1x認(rèn)證,判定該用戶非法,非法用戶將被拒絕接入;如果用戶名和密碼正確,則判定該用戶合法。合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證安全策略服務(wù)器檢查用戶的補(bǔ)丁版本、病毒庫(kù)版本等是否合格,如果檢查不通過,則該用戶未通過安全狀態(tài)認(rèn)證,在對(duì)應(yīng)關(guān)系中增加一個(gè)表項(xiàng),表項(xiàng)中對(duì)應(yīng)的用戶狀態(tài)為隔離狀態(tài);如果通過安全狀態(tài)認(rèn)證,則在對(duì)應(yīng)關(guān)系中增加一個(gè)表項(xiàng),表項(xiàng)中對(duì)應(yīng)的用戶狀態(tài)為安全狀態(tài)。當(dāng)然,如果對(duì)應(yīng)關(guān)系中已經(jīng)有某個(gè)用戶的表項(xiàng),則還可以基于認(rèn)證結(jié)果對(duì)該表項(xiàng)中的用戶狀態(tài)進(jìn)行更新。例如,在接入設(shè)備中建立如下的對(duì)應(yīng)關(guān)系表<table>tableseeoriginaldocumentpage10</column></row><table>步驟204:對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的上行報(bào)文,將該上行報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口;對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的上行報(bào)文,將該上行報(bào)文的原始VLAN切換為安全VLAN后轉(zhuǎn)發(fā)到上行接口;在接入端口接收到用戶的報(bào)文后,先判斷該報(bào)文是否需要從上行接口轉(zhuǎn)發(fā),若是,則確定該報(bào)文為上行報(bào)文。對(duì)于上行報(bào)文,根據(jù)報(bào)文的源地址(例如,MAC地址)從所述對(duì)應(yīng)關(guān)系中查找用戶狀態(tài),如果該用戶為隔離狀態(tài),則將該上行報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口;如果該用戶為安全狀態(tài),則將該上行報(bào)文的原始VLAN切換為安全VLAN后轉(zhuǎn)發(fā)到上行接口。步驟205:對(duì)于在上行接口匹配所述隔離類ACL或者所述安全類ACL的在上行接口對(duì)用戶的上行報(bào)文進(jìn)行ACL的匹配。具體地,是將上行報(bào)文的VLAN與ACL中的VLAN進(jìn)行比較,將報(bào)文的目的地址與ACL中的目的地址進(jìn)行比較,如果上行報(bào)文的VLAN與某條ACL中的VLAN相同,并且該上行報(bào)文的目的地址與該條ALC中的目的地址相同,則說(shuō)明該上行報(bào)文與該條ACL匹配。在上行才艮文與某條ACL匹配時(shí),才丸行與之關(guān)聯(lián)的處理策略,即將該上行l(wèi)良文的VLAN切換為原始VLAN后進(jìn)行轉(zhuǎn)發(fā)。以上描述的是針對(duì)上行報(bào)文的處理,為進(jìn)一步提高EAD系統(tǒng)的安全性,本發(fā)明實(shí)施例還對(duì)本地報(bào)文的處理進(jìn)行了改進(jìn)和優(yōu)化,處理原則是只有通過安全認(rèn)證的兩個(gè)用戶終端才能直接互訪。具體如下(1)對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的本地報(bào)文,直接丟棄該本i也纟艮文。(2)對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為未知地址,或者,目的地址為廣播地址,則將該報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口。(3)對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的本地報(bào)文,判斷該報(bào)文的目的地址對(duì)應(yīng)的用戶是否處于安全狀態(tài),若是,則將該本地報(bào)文送至對(duì)應(yīng)的接入端口進(jìn)行轉(zhuǎn)發(fā),否則,直接丟棄該本地報(bào)文。(4)對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為未知地址,則將該才艮文的原始VLAN切換為安全VLAN后轉(zhuǎn)發(fā)到上行接口。(5)對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為廣播地址,則將該報(bào)文送至其他的接入端口進(jìn)行轉(zhuǎn)發(fā),并將該報(bào)文的原始VLAN切換為安全VLAN后轉(zhuǎn)發(fā)到上行接口,。以下對(duì)實(shí)現(xiàn)上述方法的接入設(shè)備進(jìn)行描述。參照?qǐng)D3,本發(fā)明實(shí)施例一的端點(diǎn)準(zhǔn)入防御中的接入設(shè)備,包括VLAN配置模塊、ACL配置模塊、對(duì)應(yīng)關(guān)系建立模塊、VLAN切換模塊和ACL處理模塊。VLAN配置模塊,用于分別在接入端口和上行接口配置兩個(gè)VLAN:隔離VLAN和安全VLAN。ACL配置模塊,用于在上行接口配置隔離類訪問控制列表ACL和安全類ACL。在接入設(shè)備的上行接口,配置基于隔離VLAN的隔離類ACL,該ACL定義隔離區(qū)域,僅允許該VLAN訪問特定的有限資源;并在該上行接口配置基于安全VLAN的安全類ACL,定義該VLAN可以訪問的安全區(qū)域。其中,所述隔離類ACL的匹配規(guī)則為判斷報(bào)文的VLAN是否為隔離VLAN,以及,報(bào)文的目的地址是否為允許的目的地址;與所述隔離類ACL關(guān)聯(lián)的處理策略為對(duì)于匹配的上行報(bào)文,將該上行報(bào)文的VLAN切換為原始VLAN后進(jìn)行轉(zhuǎn)發(fā)。所述安全類ACL的匹配規(guī)則為判斷報(bào)文的VLAN是否為安全VLAN,以及,報(bào)文的目的地址是否為允許的目的地址;與所述安全類ACL關(guān)聯(lián)的處理策略為對(duì)于匹配的上行報(bào)文,將該上行報(bào)文的VLAN切換為原始VLAN后進(jìn)行轉(zhuǎn)發(fā)。對(duì)應(yīng)關(guān)系建立模塊,用于建立用戶信息與用戶狀態(tài)的對(duì)應(yīng)關(guān)系。其中,所述用戶信息包括用戶VLAN、用戶地址(例如,MAC地址)和用戶接入端口;所述用戶狀態(tài)包括隔離狀態(tài)和安全狀態(tài)。未通過安全狀態(tài)認(rèn)證的用戶為隔離狀態(tài),通過安全狀態(tài)認(rèn)證的用戶為安全狀態(tài)。VLAN切換模塊,用于對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的上行報(bào)文,將該上行報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口;對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的上行報(bào)文,將該上行報(bào)文的原始VLAN切換為安全VLAN后轉(zhuǎn)發(fā)到上行接口。在接入端口接收到用戶的報(bào)文后,先判斷該報(bào)文是否需要從上行接口轉(zhuǎn)發(fā),若是,則確定該報(bào)文為上行報(bào)文。對(duì)于上行報(bào)文,根據(jù)報(bào)文的源地址(例如,MAC地址)從所述對(duì)應(yīng)關(guān)系中查找用戶狀態(tài),如果該用戶為隔離狀態(tài),則將該上行報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口;如果該用戶為安全狀態(tài),則將該上行報(bào)文的原始VLAN切換為安全VLAN后轉(zhuǎn)發(fā)到上行纟妻口。ACL處理模塊,用于對(duì)于在上行接口匹配所述隔離類ACL或者所述安全類ACL的上行報(bào)文,將該上行報(bào)文的VLAN切換為原始VLAN后進(jìn)行轉(zhuǎn)發(fā)。在上行接口對(duì)用戶的上行報(bào)文進(jìn)行ACL的匹配。具體地,是將上行報(bào)文的VLAN與ACL中的VLAN進(jìn)行比較,將報(bào)文的目的地址與ACL中的目的地址進(jìn)行比較,如果上行報(bào)文的VLAN與某條ACL中的VLAN相同,并且該上行報(bào)文的目的地址與該條ALC中的目的地址相同,則說(shuō)明該上行報(bào)文與該條ACL匹配。在上行報(bào)文與某條ACL匹配時(shí),執(zhí)行與之關(guān)聯(lián)的處理策略,即參照?qǐng)D4,本發(fā)明實(shí)施例二的端點(diǎn)準(zhǔn)入防御中的接入設(shè)備,包括VLAN配置模塊、ACL配置模塊、對(duì)應(yīng)關(guān)系建立模塊、VLAN切換模塊、ACL處理模塊、第一本地報(bào)文處理模塊和第二本地報(bào)文處理模塊。VLAN配置模塊,用于分別在接入端口和上行接口配置兩個(gè)VLAN:隔離VLAN和安全VLAN;ACL配置模塊,用于在上行接口配置隔離類訪問控制列表ACL和安全類ACL,所述隔離類ACL的匹配規(guī)則為判斷報(bào)文的VLAN是否為隔離VLAN,以及,報(bào)文的目的地址是否為允許的目的地址;所述安全類ACL的匹配規(guī)則為判斷報(bào)文的VLAN是否為安全VLAN,以及,報(bào)文的目的地址是否為允許的目的地址;對(duì)應(yīng)關(guān)系建立;^莫塊,用于建立用戶信息與用戶狀態(tài)的對(duì)應(yīng)關(guān)系,其中,未通過安全狀態(tài)認(rèn)證的用戶為隔離狀態(tài),通過安全狀態(tài)認(rèn)證的用戶為安全狀態(tài);VLAN切換模塊,用于對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的上行報(bào)文,將該上行報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口;對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的上行報(bào)文,將該上行報(bào)文的原始VLAN切換為安全VLAN后轉(zhuǎn)發(fā)到上行接口;ACL處理模塊,用于對(duì)于在上行接口匹配所述隔離類ACL或者所述安全類ACL的上行報(bào)文,將該上行報(bào)文的VLAN切換為原始VLAN后進(jìn)行轉(zhuǎn)發(fā);第一本地報(bào)文處理模塊,用于對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的本地^良文,丟棄該本地報(bào)文;所述VLAN切換模塊還用于,對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為未知地址,或者,目的地址為廣播地址,則將該報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口;第二本地報(bào)文處理模塊,用于對(duì)于在接入端口接收到的處于安全狀態(tài)的用則將該本地報(bào)文送至對(duì)應(yīng)的接入端口進(jìn)行轉(zhuǎn)發(fā),否則,丟棄該本地報(bào)文;所述VLAN切換模塊還用于,對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為未知地址,或者,目的地址為廣播地址,則將該報(bào)文的原始VLAN切換為安全VLAN后轉(zhuǎn)發(fā)到上行接口。所述第二本地報(bào)文處理模塊還用于,對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為廣播地址,則將該報(bào)文送至其他的接入端口進(jìn)行轉(zhuǎn)發(fā)。與現(xiàn)有技術(shù)在接入端口針對(duì)每個(gè)用戶動(dòng)態(tài)下發(fā)多條ACL相比,本發(fā)明是在上行接口針對(duì)隔離VLAN和安全VLAN,靜態(tài)下發(fā)隔離類ACL和安全類ACL,如此,能夠節(jié)省接入設(shè)備的ACL資源,進(jìn)而增加接入設(shè)備對(duì)用戶終端的接入能力。最后應(yīng)當(dāng)說(shuō)明的是,以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非限制,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,而不脫離本發(fā)明技術(shù)方案的精神范圍,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。權(quán)利要求1.一種端點(diǎn)準(zhǔn)入防御中的報(bào)文控制方法,其特征在于,包括如下步驟分別在接入端口和上行接口配置兩個(gè)虛擬局域網(wǎng)VLAN隔離VLAN和安全VLAN;在上行接口配置隔離類訪問控制列表ACL和安全類ACL,所述隔離類ACL的匹配規(guī)則為判斷報(bào)文的VLAN是否為隔離VLAN,以及,報(bào)文的目的地址是否為允許的目的地址;所述安全類ACL的匹配規(guī)則為判斷報(bào)文的VLAN是否為安全VLAN,以及,報(bào)文的目的地址是否為允許的目的地址;建立用戶信息與用戶狀態(tài)的對(duì)應(yīng)關(guān)系,其中,未通過安全狀態(tài)認(rèn)證的用戶為隔離狀態(tài),通過安全狀態(tài)認(rèn)證的用戶為安全狀態(tài);對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的上行報(bào)文,將該上行報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口;對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的上行報(bào)文,將該上行報(bào)文的原始VLAN切換為安全VLAN后轉(zhuǎn)發(fā)到上行接口;對(duì)于在上行接口匹配所述隔離類ACL或者所述安全類ACL的上行報(bào)文,將該上行報(bào)文的VLAN切換為原始VLAN后進(jìn)行轉(zhuǎn)發(fā)。2.如權(quán)利要求1所述的報(bào)文控制方法,其特征在于,還包括對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的本地報(bào)文,丟棄該本地報(bào)文。3.如權(quán)利要求1或2所述的報(bào)文控制方法,其特征在于,還包括對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為未知地址,或者,目的地址為廣播地址,則將該報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口。4.如權(quán)利要求1所述的報(bào)文控制方法,其特征在于,還包括對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的本地報(bào)文,判斷該報(bào)文的目的地址對(duì)應(yīng)的用戶是否處于安全狀態(tài),若是,則將該本地報(bào)文送至對(duì)應(yīng)的接入端口進(jìn)行轉(zhuǎn)發(fā),否則,丟棄該本地報(bào)文。5.如權(quán)利要求1或4所述的報(bào)文控制方法,其特征在于,還包括對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為未知地址,或者,目的地址為廣播地址,則將該報(bào)文的原始VLAN切換為安全VLAN后轉(zhuǎn)發(fā)到上行接口。6.如權(quán)利要求5所述的報(bào)文控制方法,其特征在于對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為廣播地址,則還將該報(bào)文送至其他的接入端口進(jìn)行轉(zhuǎn)發(fā)。7.—種端點(diǎn)準(zhǔn)入防御中的接入設(shè)備,其特征在于,包括VLAN配置模塊,用于分別在接入端口和上行接口配置兩個(gè)VLAN:隔離VLAN和安全VLAN;ACL配置模塊,用于在上行接口配置隔離類訪問控制列表ACL和安全類ACL,所述隔離類ACL的匹配規(guī)則為判斷報(bào)文的VLAN是否為隔離VLAN,以及,報(bào)文的目的地址是否為允許的目的地址;所述安全類ACL的匹配規(guī)則為判斷報(bào)文的VLAN是否為安全VLAN,以及,報(bào)文的目的地址是否為允許的目的地址;對(duì)應(yīng)關(guān)系建立模塊,用于建立用戶信息與用戶狀態(tài)的對(duì)應(yīng)關(guān)系,其中,未通過安全狀態(tài)認(rèn)證的用戶為隔離狀態(tài),通過安全狀態(tài)認(rèn)證的用戶為安全狀態(tài);VLAN切換模塊,用于對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的上行報(bào)文,將該上行報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口;對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的上行報(bào)文,將該上行報(bào)文的原始VLAN切換為安全VLAN后轉(zhuǎn)發(fā)到上行接口;ACL處理模塊,用于對(duì)于在上行接口匹配所述隔離類ACL或者所述安全類ACL的上行報(bào)文,將該上行報(bào)文的VLAN切換為原始VLAN后進(jìn)行轉(zhuǎn)發(fā)。8.如權(quán)利要求7所述的接入設(shè)備,其特征在于,還包括第一本地報(bào)文處理模塊,用于對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的本地報(bào)文,丟棄該本地報(bào)文。9.如權(quán)利要求7或8所述的接入設(shè)備,其特征在于所述VLAN切換模塊還用于,對(duì)于在接入端口接收到的處于隔離狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為未知地址,或者,目的地址為廣播地址,則將該報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口。10.如權(quán)利要求7所述的接入設(shè)備,其特征在于,還包括第二本地報(bào)文處理模塊,用于對(duì)于在接入端口接收到的處于安全狀態(tài)的用則將該本地才艮文送至對(duì)應(yīng)的接入端口進(jìn)行轉(zhuǎn)發(fā),否則,丟棄該本地報(bào)文。11.如權(quán)利要求7或IO所述的接入設(shè)備,其特征在于所述VLAN切換模塊還用于,對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為未知地址,或者,目的地址為廣播地址,12.如權(quán)利要求11所述的接入設(shè)備,其特征在于所述第二本地報(bào)文處理模塊還用于,對(duì)于在接入端口接收到的處于安全狀態(tài)的用戶的報(bào)文,如果該報(bào)文的目的地址為廣播地址,則將該報(bào)文送至其他的接入端口進(jìn)行轉(zhuǎn)發(fā)。全文摘要本發(fā)明提供一種端點(diǎn)準(zhǔn)入防御中的報(bào)文控制方法及接入設(shè)備。方法包括在接入端口和上行接口配置隔離VLAN和安全VLAN;在上行接口配置隔離類ACL和安全類ACL;建立用戶信息與用戶狀態(tài)的對(duì)應(yīng)關(guān)系;對(duì)于在接入端口接收到的隔離狀態(tài)用戶的上行報(bào)文,將該報(bào)文的原始VLAN切換為隔離VLAN后轉(zhuǎn)發(fā)到上行接口;對(duì)于在接入端口接收到的安全狀態(tài)用戶的上行報(bào)文,將該報(bào)文的原始VLAN切換為安全VLAN后轉(zhuǎn)發(fā)到上行接口;對(duì)于在上行接口匹配所述隔離類ACL或者所述安全類ACL的上行報(bào)文,將該報(bào)文的VLAN切換為原始VLAN后進(jìn)行轉(zhuǎn)發(fā)。依照本發(fā)明,能夠減少對(duì)接入設(shè)備ACL資源的消耗,進(jìn)而增加接入設(shè)備對(duì)用戶終端的接入能力。文檔編號(hào)H04L12/56GK101631078SQ20091009172公開日2010年1月20日申請(qǐng)日期2009年8月24日優(yōu)先權(quán)日2009年8月24日發(fā)明者王君菠申請(qǐng)人:杭州華三通信技術(shù)有限公司