本申请提供一种非法端点的接入控制方法及装置,包括:获取所述EPS系统中各网络设备的下行链路信息;基于各网络设备的下行链路信息,构造表征各网络设备连接关系的设备连接表;依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,并阻断所述网络设备上连接所述非法端点的接口。使用本申请提供的方法可以实现非法端点的接入控制。
An access control method and device of illegal terminal
【技术实现步骤摘要】
一种非法端点的接入控制方法和装置
本申请涉及计算机通信领域,尤其涉及一种非法端点的接入控制方法和装置。
技术介绍
网络中遍布各种类型的端点,例如摄像头、PC(PersonalComputer,个人计算机)、交换机、服务器、路由器、防火墙、AP(WirelessAccessPoint,无线接入点)、打印机、ATM(AutomaticTellerMachine,自动取款机)等。为了对网络中的端点进行管理,EPS系统(EndpointsProfilingSystem,端点探测系统)应运而生。EPS系统包括EPS服务器和EPS扫描器,ESP扫描器可对是通过对网络中的各端点进行扫描,并将扫描结果上报给EPS服务器。EPS服务器根据扫描结果对端点进行合法性校验,当校验端点为非法端点时,需要对非法端点进行接入控制。因此,如何对非法端点进行接入控制就显得尤为重要。
技术实现思路
有鉴于此,本申请提供一种非法端点的接入控制方法和装置,用以实现非法端点的接入控制。具体地,本申请是通过如下技术方案实现的:根据本申请的第一方面,提供一种非法端点的接入控制方法,所述方法应用于端点探测系统EPS系统中的EPS服务器,所述方法包括:获取所述EPS系统中各网络设备的下行链路信息;基于各网络设备的下行链路信息,构造表征各网络设备连接关系的设备连接表;依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,并阻断所述网络设备上连接所述非法端点的接口。可选的,所述网络设备的下行链路信息包括:网络设备的标识、网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口;所述设备连接表包括:与各网络设备对应的设备连接表项;设备连接表项包括:网络设备的标识、该网络设备的下行链路存在情况,若该网络设备存在下行链路,则该设备连接表项还包括:网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口。可选的,所述依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,包括:确定所述非法端点接入的网关设备,将所述网关设备作为目标网络设备;在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口;在所述设备连接表中查找与该目标网络设备对应的至少一个设备连接表项,基于查找到的设备连接表项记录的下行链路存在情况,确定所述目标网络设备是否存在下行链路;若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项中任一设备连接表项记录的本地接口相同时,将该任一设备连接表项记录的邻居设备作为目标网络设备,并返回在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口的步骤;若所述目标网络设备不存在下行链路,则确定所述目标网络设备是与该非法端点直连的网络设备。可选的,所述方法还包括:若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项记录的本地接口均不相同时,则确定该目标网络设备是与该非法端点直连的网络设备。可选的,所述阻断所述网络设备上连接所述非法端点的接口,包括:阻断确定出的与所述非法端点的地址匹配的转发表项中的出接口。根据本申请的第二方面,提供一种非法端点的接入控制装置,所述装置应用于端点探测系统EPS系统中的EPS服务器,所述装置包括:获取单元,用于获取所述EPS系统中各网络设备的下行链路信息;构造单元,用于基于各网络设备的下行链路信息,构造表征各网络设备连接关系的设备连接表;确定单元,用于依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,并阻断所述网络设备上连接所述非法端点的接口。可选的,所述网络设备的下行链路信息包括:网络设备标识、网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口;所述设备连接表包括:与各网络设备对应的设备连接表项;设备连接表项包括:与该设备连接表项对应的网络设备的标识、该网络设备的下行链路存在情况,若该网络设备存在下行链路,则该设备连接表项还包括:网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口。可选的,所述确定单元,具体用于确定所述非法端点接入的网关设备,将所述网关设备作为目标网络设备;在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口;在所述设备连接表中查找与该目标网络设备对应的至少一个设备连接表项,基于查找到的设备连接表项记录的下行链路存在情况,确定所述目标网络设备是否存在下行链路;若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项中任一设备连接表项记录的本地接口相同时,将该任一设备连接表项记录的邻居设备作为目标网络设备,并返回在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口的步骤;若所述目标网络设备不存在下行链路,则确定所述目标网络设备是与该非法端点直连的网络设备。可选的,所述确定单元,还具体用于若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项记录的本地接口均不相同时,则确定该目标网络设备是与该非法端点直连的网络设备。可选的,所述确定单元,在阻断所述网络设备上连接所述非法端点的接口时,具体用于阻断确定出的与所述非法端点的地址匹配的转发表项中的出接口。由上述描述可知,EPS服务器可以基于各网络设备上报的各自的下行链路信息,计算各网络设备之间的连接关系,并生成用于表征各网络设备连接关系的设备连接表。EPS服务器可以基于设备连接表,从非法端点连接的网关设备开始,通过逐级查找确定出与非法端点直连的网络设备,并将确定出网络设备上连接该非法端点的接口阻断,从而实现了EPS服务器对非法端点的接入控制。附图说明图1a是示出的一种非法端点接入控制的组网架构图;图1b是示出的另一种非法端点接入控制的组网架构图;图2a是本申请一示例性实施例示出的一种非法端点的接入控制方法的流程图;图2b是本申请一示例性实施例示出的一种确定非法端点直连的网络设备的方法的流程图;图3是本申请一示例性实施例示出的一种非法端点接入控制的示意图;图4是本申请一示例性实施例示出的一种EPS服务器的硬件结构图;图5是本申请一示例性实施例示出的一种非法端点的接入控制装置的框图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本申请可能采用术语第一、第二、本文档来自技高网...
【技术保护点】
1.一种非法端点的接入控制方法,其特征在于,所述方法应用于端点探测系统EPS系统中的EPS服务器,所述方法包括:获取所述EPS系统中各网络设备的下行链路信息;基于各网络设备的下行链路信息,构造表征各网络设备连接关系的设备连接表;依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,并阻断所述网络设备上连接所述非法端点的接口。
【技术特征摘要】
1.一种非法端点的接入控制方法,其特征在于,所述方法应用于端点探测系统EPS系统中的EPS服务器,所述方法包括:获取所述EPS系统中各网络设备的下行链路信息;基于各网络设备的下行链路信息,构造表征各网络设备连接关系的设备连接表;依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,并阻断所述网络设备上连接所述非法端点的接口。2.根据权利要求1所述的方法,其特征在于,所述网络设备的下行链路信息包括:网络设备的标识、网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口;所述设备连接表包括:与各网络设备对应的设备连接表项;设备连接表项包括:网络设备的标识、该网络设备的下行链路存在情况,若该网络设备存在下行链路,则该设备连接表项还包括:网络设备的下行链路连接的邻居设备的标识、该下行链路在该网络设备上的本地接口、该下行链路在该邻居设备上的邻居接口。3.根据权利要求2所述的方法,其特征在于,所述依据所述设备连接表,确定接入所述EPS系统的非法端点直连的网络设备,包括:确定所述非法端点接入的网关设备,将所述网关设备作为目标网络设备;在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口;在所述设备连接表中查找与该目标网络设备对应的至少一个设备连接表项,基于查找到的设备连接表项记录的下行链路存在情况,确定所述目标网络设备是否存在下行链路;若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项中任一设备连接表项记录的本地接口相同时,将该任一设备连接表项记录的邻居设备作为目标网络设备,并返回在所述目标网络设备记录的转发表中,确定与所述非法端点的地址匹配的转发表项中的出接口的步骤;若所述目标网络设备不存在下行链路,则确定所述目标网络设备是与该非法端点直连的网络设备。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:若所述目标网络设备存在下行链路,则在确定所述出接口与所述至少一个设备连接表项记录的本地接口均不相同时,则确定该目标网络设备是与该非法端点直连的网络设备。5.根据权利要求3所述的方法,其特征在于,所述阻断所述网络设备上连接所述非法端点的接口,包括:阻断确定出的与所述非法端点的地址匹配的转发表项中的出接口。6.一种非法端点...
【专利技术属性】
技术研发人员:郑萍萍,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。