技術(shù)領(lǐng)域

本發(fā)明涉及終端接入技術(shù)領(lǐng)域，具體涉及一種基于智能交換機(jī)物理端口和MAC地址的接入控制方法和系統(tǒng)。

背景技術(shù)

現(xiàn)有接入控制技術(shù)，主要有四種：①802.1x準(zhǔn)入控制、②基于DHCP準(zhǔn)入控制、③基于網(wǎng)關(guān)的準(zhǔn)入控制、④基于ARP強(qiáng)制技術(shù)，不同的技術(shù)采用不同的接入控制點(diǎn)實(shí)現(xiàn)接入的開啟和關(guān)閉。①的控制點(diǎn)在交換機(jī)的協(xié)議端口上，準(zhǔn)入關(guān)閉狀態(tài)，除了EAP協(xié)議外，所有的協(xié)議端口都關(guān)閉，客戶端只能通過(guò)EAP協(xié)議與認(rèn)證服務(wù)端通訊完成接入認(rèn)證過(guò)程，接入開啟狀態(tài)則交換機(jī)協(xié)議端口全部打開，終端接入網(wǎng)絡(luò)；②的準(zhǔn)入控制點(diǎn)在網(wǎng)段的網(wǎng)關(guān)地址上，即在網(wǎng)關(guān)的IP上，通過(guò)給終端分配不同的IP地址，使終端進(jìn)入不同的網(wǎng)段，當(dāng)分配了錯(cuò)誤或不存在網(wǎng)關(guān)的網(wǎng)段IP后，終端不能通過(guò)網(wǎng)關(guān)訪問本網(wǎng)段以外的地址，將終端通訊限制在本網(wǎng)段內(nèi)，即為準(zhǔn)入關(guān)閉狀態(tài)；當(dāng)終端被分配了正常的IP地址，終端進(jìn)入擁有合法網(wǎng)關(guān)地址的網(wǎng)段，終端即可以進(jìn)行正常的網(wǎng)絡(luò)訪問，即為準(zhǔn)入開啟狀態(tài)；③的控制點(diǎn)是網(wǎng)關(guān)設(shè)備本身，通過(guò)將網(wǎng)關(guān)設(shè)備插入網(wǎng)絡(luò)鏈路中，攔截通過(guò)的終端數(shù)據(jù)，終端安裝了與網(wǎng)關(guān)配套的客戶端且符合網(wǎng)關(guān)的策略要求，就放行終端的通訊，即準(zhǔn)入開啟狀態(tài)；沒有安裝客戶端或安全策略未合規(guī)的終端數(shù)據(jù)被網(wǎng)關(guān)攔截，不能通過(guò)網(wǎng)關(guān)，即為準(zhǔn)入關(guān)閉狀態(tài)；④的控制點(diǎn)和②類似，也是網(wǎng)關(guān)IP地址，實(shí)現(xiàn)方法略有不同，通過(guò)ARP協(xié)議給終端分配不存在的網(wǎng)關(guān)地址，造成終端不能正常通訊，即為準(zhǔn)入關(guān)閉狀態(tài)；通過(guò)ARP協(xié)議給終端分配正常的網(wǎng)關(guān)地址，終端即可正常通訊，即為準(zhǔn)入開啟狀態(tài)。

這四種技術(shù)都存在各自的問題和缺陷，①依賴支持802.1x協(xié)議的交換機(jī)，普通交換機(jī)上不能實(shí)現(xiàn)，成本高昂；存在接入尾隨問題；②要求終端采用DHCP分配IP地址，對(duì)固定分配地址的終端無(wú)效；③依賴網(wǎng)關(guān)設(shè)備本身能力，存在網(wǎng)絡(luò)瓶頸和單點(diǎn)故障風(fēng)險(xiǎn)；改變網(wǎng)絡(luò)結(jié)構(gòu)，控制范圍受網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)影響；對(duì)網(wǎng)關(guān)以下的局域網(wǎng)沒有準(zhǔn)入控制作用，僅能控制準(zhǔn)出；④是純軟手段，實(shí)際上是ARP欺騙，有多種方法更改該方法分配給終端的網(wǎng)關(guān)地址，而致控制失效；其類似ARP攻擊的特征，會(huì)被眾多的個(gè)人防火墻軟件攔截，不能發(fā)揮作用。

發(fā)明內(nèi)容

(一)要解決的技術(shù)問題

為了克服現(xiàn)有技術(shù)存在的問題，本發(fā)明提出一種基于智能交換機(jī)物理端口和MAC地址的接入控制方法和系統(tǒng)。

(二)技術(shù)方案

根據(jù)本發(fā)明的一個(gè)方面，提出了一種基于智能交換機(jī)物理端口和MAC地址的接入控制方法，該方法包括步驟：步驟1，從已經(jīng)建立SNMP協(xié)議連接的接入交換機(jī)上，讀取連接交換機(jī)MAC表數(shù)據(jù)，該數(shù)據(jù)包括MAC-PORT對(duì)應(yīng)關(guān)系；步驟2，將獲得的MAC表數(shù)據(jù)發(fā)送給數(shù)據(jù)歸并模塊；步驟3，數(shù)據(jù)歸并模塊對(duì)SNMP采集來(lái)的數(shù)據(jù)進(jìn)行歸并處理，從不同交換機(jī)的數(shù)據(jù)格式歸并出MAC-PORT格式，同時(shí)發(fā)送給過(guò)濾器A；步驟4，數(shù)據(jù)歸并模塊將歸并后的數(shù)據(jù)發(fā)送給過(guò)濾器B；步驟5，過(guò)濾器A將從數(shù)據(jù)歸并模塊收到的數(shù)據(jù)與MAC/PORT緩存中前一周期緩存的數(shù)據(jù)比較，確定新增加的MAC，并將該新增加的MAC對(duì)應(yīng)的MAC-PORT發(fā)送給MAC認(rèn)證模塊；步驟6，過(guò)濾器B將從數(shù)據(jù)歸并模塊接收的數(shù)據(jù)與MAC/PORT緩存中前一周期緩存的數(shù)據(jù)比較，確定減少的MAC，以發(fā)現(xiàn)交換機(jī)上離線的設(shè)備，將離線狀態(tài)寫入MAC認(rèn)證庫(kù)；步驟7，過(guò)濾器A以本周期數(shù)據(jù)刷新MAC/PORT緩存；步驟8，MAC認(rèn)證模塊檢索收到的MAC是否已經(jīng)在MAC認(rèn)證庫(kù)中，如果存在則認(rèn)證通過(guò)，如果不存在，說(shuō)明該MAC接入設(shè)備不是合法設(shè)備。

根據(jù)本發(fā)明的另一方面，提出了一種基于智能交換機(jī)物理端口和MAC地址的接入控制系統(tǒng)，該系統(tǒng)包括：輪詢/TRAP模塊，用于從已經(jīng)建立SNMP協(xié)議連接的接入交換機(jī)上，讀取連接交換機(jī)MAC表數(shù)據(jù)，該數(shù)據(jù)包括MAC-PORT對(duì)應(yīng)關(guān)系，并將獲得的MAC表數(shù)據(jù)發(fā)送給數(shù)據(jù)歸并模塊；數(shù)據(jù)歸并模塊，用于對(duì)SNMP采集來(lái)的數(shù)據(jù)進(jìn)行歸并處理，從不同交換機(jī)的數(shù)據(jù)格式歸并出MAC-PORT格式，同時(shí)發(fā)送給過(guò)濾器A，并且將歸并后的數(shù)據(jù)發(fā)送給過(guò)濾器B；過(guò)濾器A，將從數(shù)據(jù)歸并模塊收到的數(shù)據(jù)與MAC/PORT緩存中前一周期緩存的數(shù)據(jù)比較，確定新增加的MAC，將增加的MAC-PORT增加到MAC/PORT緩存中，并將該新增加的MAC對(duì)應(yīng)的MAC-PORT發(fā)送給MAC認(rèn)證模塊；過(guò)濾器B，用于將從數(shù)據(jù)歸并模塊接收的數(shù)據(jù)與MAC/PORT緩存中前一周期緩存的數(shù)據(jù)比較，確定減少的MAC，以發(fā)現(xiàn)交換機(jī)上離線的設(shè)備，將離線狀態(tài)寫入MAC認(rèn)證庫(kù)；MAC認(rèn)證模塊，用于檢索收到的MAC是否已經(jīng)在MAC認(rèn)證庫(kù)中，如果存在則認(rèn)證通過(guò)，如果不存在，說(shuō)明該MAC接入設(shè)備不是合法設(shè)備。