[发明专利]一种安全接入方法及汇聚设备

说明书

技术领域

本发明涉及安全接入技术领域，尤其涉及一种安全接入方法及汇聚设备(AGG，aggregate)。

背景技术

目前，IPv6地址的自动配置方式包括两类：RFC4862规定的邻居发现(ND，Neighbor Discovery)无状态地址自动配置(SLAAC，Stateless AddressAutoconfiguration)和RFC3513规定的IPv6动态主机配置协议(DHCPv6，Dynamic Hosting Configuration Protocol)有状态地址配置。

上述两种技术均具备安全控制功能，其中，ND无状态地址自动配置技术的安全功能称为ND监听(ND Snooping)功能，DHCPv6有状态地址配置技术的安全功能称为DHCPv6Snooping功能。ND Snooping能够检查用户的合法性，防止仿冒用户的攻击；DHCPv6Snooping能够不仅能够检查用户的合法性，防止仿冒用户的攻击，还能够保证用户从合法的DHCP服务器获取IPv6地址。可见，DHCPv6Snooping功能比ND Snooping功能的安全性更强。

现有技术中，如果在网络接入设备(NAS)上部署ND Snooping功能或DHCPSnooping功能，可以完善地保证接入用户的安全，防止仿冒用户的攻击。在实际网络中，由于NAS往往是逐步更新的，经常出现部分NAS已部署ND Snooping功能或DHCP Snooping功能、而另一部分NAS尚未部署ND Snooping功能或DHCP Snooping功能的情况。这种情况下，在同一VLAN内既存在支持接入安全的NAS设备(以下简称SECNAS)、又存在不支持接入安全的NAS设备(以下简称NSECNAS)。如图1为现有技术中的混合组网结构示意图。在图1所示的组网中，所有的SECNAS及与其连接的用户设备构成安全区域(SEC AREA)，所有的NSECNAS及与其连接的用户设备构成非安全区域(NSEC AREA)。SECNAS能够对连接在其上的用户设备进行安全接入，保证只有合法的用户设备才能被接入；而NSECNAS无法对连接在其上的用户设备进行安全接入，这些用户设备就可以随意访问网络，有可能攻击其它用户设备。可见，在支持安全接入的SECNAS和不支持安全接入的NSECNAS的混合组网中，无法保证安全区域的安全性，连接在SECNAS上的用户设备也可能被攻击。

发明内容

本发明提供了一种安全接入方法，能够保证SECNAS和NSECNAS的混合组网中安全区域的安全性。

本发明还提出一种AGG，能够保证SECNAS和NSECNAS的混合组网中安全区域的安全性。

本发明的技术方案是这样实现的：

一种安全接入方法，所述方法应用于包括用户设备、AGG和多个不同安全级别的NAS的混合组网所述方法包括：

A、AGG预先为NAS的安全级别设置对应的IPv6地址/前缀以及访问控制列表ACL过滤规则；

B、AGG向NAS挂接的用户设备下发所述NAS的安全级别对应的IPv6地址/前缀，并在连接所述NAS的端口下发所述NAS的安全级别对应ACL过滤规则；

C、用户设备采用所述IPv6地址/前缀，通过NAS向所述AGG发送报文；AGG接收所述报文，在接收所述报文的端口上采用步骤B中下发的ACL过滤规则对所述报文进行过滤。

一种AGG，包括：

预设模块，用于预先为NAS的安全级别设置对应的IPv6地址/前缀以及ACL过滤规则；

地址下发模块，用于向NAS挂接的用户设备下发所述NAS的安全级别对应的IPv6地址/前缀；

ACL下发模块，用于向连接NAS的端口下发所述NAS的安全级别对应ACL过滤规则；

安全接入模块，用于接收NAS转发的报文，在所述接收报文的端口上采用ACL过滤规则对所述报文进行过滤。

可见，本发明提出的安全接入方法和AGG，通过在AGG设备上对同一链路内的SECNAS和NSECNAS分别公布不同的IPv6地址/前缀，并在后续的转发过程中，对NAS的接入端口应用相应的访问控制列表(ACL，AccessControl List)过滤规则，从而将SECNAS和NSECNAS的区域分隔开，保证SECNAS区域的安全性，使得NSECNAS区域的安全威胁只局限在NSECNAS区域内。

附图说明

图1为现有技术中的混合组网结构示意图；

图2为本发明提出的安全接入方法流程图；