[实用新型]思科环境下的网络准入控制系统

说明书

技术领域

本实用新型涉及网络通信控制领域，特别涉及在思科环境下对网络终端设备接入网络的准入控制。

背景技术

随着企事业单位信息化建设水平的逐步提高，各类应用系统相继部署，网络用户在享受到信息化带来的便捷和高效的同时，对网络和信息系统的依赖性也日益提高，而内部网络安全事件一旦发生，整个网络和信息系统的故障和被破坏将给所在机构的生产和工作带来灾难性的全局停顿和无法弥补的损失。

在各种对网络数据和信息构成的安全风险中，内部漏洞和攻击造成的威胁远远大于从互联网穿越防火墙构成的威胁，而内部漏洞和攻击的源头则绝大部分被追溯到接入网络的各种终端设备。因此，对入网终端设备进行有效的接入控制和安全性检查、隔离修复将切实有效地大大减少内部威胁造成的安全风险。

针对上述问题，目前安全业界普遍采用的是基于IEEE 802.1x协议，如图1所示，来进行端口级别的控制，其主要控制原理为：

初始状态下，在靠近用户一侧的以太网交换机上的所有端口均处于关闭状态，只有EAPoL（EAP over LAN）数据流才能通过，其他任何类型的网络数据流，如动态主机配置协议、超文本传输协议（HTTP）、文件传输协议（FTP）、简单邮件传输协议（SMTP）和邮局协议（POP3）等都被禁止传输。

此时，交换机上将具有一个标准或非标准的EAP（extensible authentication protocol）代理，用户PC机运行一个能够生成EAPoL报文的客户端与交换机通信。当用户PC机发出携带用户名和口令的EAPoL报文时，交换机将用户提供的信息传送到后台的Radius认证服务器上。如果用户名及口令通过了验证，则相应的以太网端口打开，允许用户访问。

但是，基于802.1x协议的准入控制方案存在使用上的极大不便，无法在端口打开后根据用户身份进行权限控制，另外在大部分环境下对hub的支持不足。

首先，目前所有的802.1x平台都要求入网用户必须安装进行认证的EAPoL客户端，这种情况存在许多缺陷：其一、新入网设备如果未安装客户端，将无法通过认证进入网络，而此时没有任何提示信息，所有与网络中资源的联系均被切断，用户自身无法进行任何操作，如果依靠管理员手工安装EAPoL客户端，工作量将十分繁重；其二、网络中的许多非桌面型ip设备（如网络打印机）在无法安装客户端的情况下将被隔离出网络。

其次，大部分的802.1x认证都是基于端口的，认证通过后端口完全放开，无法根据入网用户身份角色的不同进行动态的权限控制，在入网用户权限无法规范的情况下，很容易导致内部重要资源的泄密。

而对于大部分交换机而言，标准的802.1x协议也无法解决端口下挂hub的情况。IEEE 802.1x协议是基于端口的，那么在端口下挂hub时，如果某一台设备通过认证打开交换机端口，那么同一hub下广播域内的所有设备均无需认证就会直接入网，这是hub环境下的控制漏洞。

最后，大部分的802.1x架构中eap包的响应和处理都是基于软件方式的，在通用的某台服务器上，基于window系统安装radius程序后进行处理和控制，其响应速度和处理效率都受到整体硬件环境和操作系统的制约，无法应用于大规模、高性能要求的网络环境中。

发明内容

针对现有技术存在网络准入控制系统使用极不方便，无法在端口打开后根据用户身份进行权限控制，且大部分环境下对hub的支持不足的缺陷，本实用新型提供一种对网络终端设备进行有效的接入控制和权限管理的网络准入控制系统。

为实现上述发明目的，本实用新型采用如下的技术方案：

思科环境下的网络准入控制系统，包括电源、发出入网请求的终端设备、与请求的终端设备相连接的交换机，所述的交换机用于获知发出入网请求的终端设备的状态并产生查询数据，还包括准入控制模块，所述的准入控制模块与交换机相连，用于接收和处理查询数据、生成并传输应答数据到交换机，请求的终端设备与交换机之间通过数据线连接。发出入网请求的终端设备通过网线接入网络，交换机实时发现该设备并通过预先设置的规则产生查询数据，准入控制模块接收到查询数据后会产生查询动作，按照预先设置的规则生成应答数据，并将应答数据传输到交换机，交换机按照应答数据的指示来决定是否准入，或采取何种准入策略。