[发明专利]一种管理二层接入终端的实现方法

说明书

技术领域

本发明涉及网络管理领域，特别涉及基于二层设备的终端安全接入系统的管 理技术。

背景技术

使用802.1x协议通过二层设备接入企业网络，是目前常用的一种终端接入 方式。关于802.1X协议的工作原理可参见公开号为CN1567868A(申请号 03145192.6，公开日2005年1月19日)的专利申请说明书第1-4页和附图1-5。 为了扩展接入终端的安全特性，许多厂商各自实现了运行于终端用户计算机的 802.1x客户端，一般该客户端除了支持标准802.1x协议体系外，还增加了安全 和管理特性，如终端安全等级计算、终端管理等。

在有终端安全接入要求的网络环境中，如企业网，由于用户的计算机操作权 限设置，以及企业内部安全审计的需要，网络管理员要能够对接入终端进行相应 的安全管理，如检查终端是否安装了非法软件、开放的端口情况和所安装操作系 统版本和补丁版本，或在终端执行脚本等等，以达到保证接入的终端安全可信的 目的。为了对接入的终端进行管理，用户终端和后端网管服务器(以下简称网管 设备)之间需要有可用的连接通道，一条TCP/IP协议之上的安全通道，用于网 络管理员在离散的时间点上，对二层接入终端进行安全管理，如运行状态监测、 安全级别检测、升级管理等操作。该安全通道的连接可以一直保持建立或者根据 需要建立。一般来说，当终端接入数量较大时，网管设备通过安全连接协议直接 连接位于网络边缘的接入终端，对网管设备的性能是一个考验；另外由于网管操 作多为间断性操作，所以一直保持接入终端和网管服务器的连接对于资源利用来 说也是一种浪费。

发明内容

本发明提出一种管理二层接入终端的实现方法，解决了网管设备有效管理大 量通过二层接入设备接入的终端问题，避免了资源的浪费。

一种管理二层接入终端的实现方法，包括如下步骤：

a、网管设备选择需要管理的用户终端，并通知二层接入设备该用户终端 ID；

b、二层接入设备通过局域网承载扩展认证协议，通知该用户终端主动连接 网管设备；

c、用户终端收到二层接入设备的通知后，主动和网管设备建立安全连接。

在以上步骤b中，所述的二层接入设备通知用户终端主动连接网管设备是 指，向该用户终端发送局域网承载扩展认证协议的认证成功帧。

在以上步骤c中，进一步包括，用户终端收到二层接入设备的认证成功帧后， 判断其自身处于安全登录状态时，根据本地记录的网管设备的IP地址和端口， 主动和网管设备建立安全连接。

具体的，以上所述的安全连接为SSL连接。

具体的，以上所述的二层接入设备和用户终端支持SNMP协议。

具体的，以上所述的二层接入设备为以太网交换机。

本发明的有益效果：本发明利用运行于二层设备上的局域网承载扩展认证协 议(Extensible Authentication Protocol over LAN，简称EAPOL协议)和网管协议， 通过接入设备通知接入终端，接入终端主动发起一条通向网管设备的安全连接， 实现了网管设备在一个离散的时间点上，透过二层接入设备对终端用户进行安全 控制和管理；提高了资源利用率和降低技术复杂度。

附图说明

图1是本发明网络环境连接结构示意图。

图2是本发明方法中管理二层接入终端的流程示意图。

具体实施方式

本发明多用于企业网中，如图1，网管设备和用户终端以及内部网络服务器 都通过二层接入设备连接。为了保证用户终端安全访问内部网络服务器，利用二 层接入设备进行安全接入的控制和网管设备安全检测。本发明即是为了保证网管 设备对用户计算机进行有效的安全检测，利用网管设备对大量通过二层设备接入 的用户终端进行安全管理，从而保证内部被访问网络资源的安全。通过网管设备 将需要管理的用户终端通知给二层接入设备；二层接入设备再利用EAPOL协议 报文通知接入终端，使得接入终端主动发起一条通向网管设备的安全连接，实现 了网管设备在一个离散的时间点上，透过二层接入设备对终端用户进行安全控制 和管理。

本发明中的用户终端基于二层设备接入的网管系统，主要包括以下几部分：