技術領域

本發明是關于一種具安全與功能擴充性的有線局域網絡用戶管理系統及方法，特別是指一種結合網絡控制器、可程序化網絡交換器、服務器、網絡負載平衡器與數據庫，達到動態認證與管理網絡用戶，且可彈性擴充各種網絡功能的系統與方法。

背景技術

網絡安全一直是個備受關注的議題，早期基本的網絡防護主要透過防火墻來阻擋非法的聯機和外部攻擊，但隨著各種木馬和惡意軟件、病毒與黑客手法等等的日新月異，顯然已無法只靠防火墻來維護網絡安全。目前大部分的有線局域網絡皆采用以太網絡技術，而即插即用是有線以太局域網絡的一個特色，使用便利性高，不過相對的也帶來了安全隱憂，若任何使用者只要將其終端設備接上網絡就可以使用網絡，將無法避免惡意用戶所帶來的網絡安全威脅，因此網絡用戶管控變成一個提升網絡安全的重點。為了提升傳統以太局域網絡無法管控網絡用戶的缺點，現有兩個主要的技術與方法可以讓以太局域網絡具有管控網絡用戶的能力，分別是802.1X與DHCP(Dynamic Host Configuration Protocol，動態主機配置協議)。

802.1X這個端口型的網絡訪問控制可提供開放系統互連OSI第二層的網絡訪問控制，管控接到局域網絡端口的設備。就網絡設備來看，采用這個方法必須使用支持802.1X的以太網絡交換機，交換機必須支持RADIUS(Remote Authentication Dial In User Service，遠程撥號認證服務)通訊協議，若原有的以太網絡交換機不支持，則必須進行軟件升級或更新，若已無法升級或更新則必須更換設備。就用戶設備來看，用戶計算機也必須配合安裝802.1X相關軟件與設定，否則整個機制無法正常運作，在實際管理與部署上相當不便利。就所提供的網絡訪問控制方式來看，由于僅能提供端口(OSI第二層)的訪問控制，造成使用與控制上的限制且無彈性。而DHCP是透過使用者終端設備在上網前必須先到DHCP服務器取得IP地址后才可以上網，DHCP服務器可以根據MAC或其他方式來管控是否發配IP。

由此可見，上述現有方式仍有諸多缺失，仍有改善空間，亟待加以改良。

發明內容

發明人鑒于上述現有方式所衍生的各項缺點，乃亟思加以改良創新，并經多年苦心孤詣潛心研究后，終于成功研發完成本發明一種具安全與功能擴充性的有線局域網絡用戶管理系統及方法。

本發明的目的即在于提供一種具安全與功能擴充性的有線局域網絡用戶管理系統及方法，提出一種透過網絡控制器和可程序化網絡交換器，搭配服務器、網絡負載平衡器和數據庫等來做到網絡用戶管理的系統與方法。透過本系統與方法，原網絡設備與用戶計算機不需安裝任何軟件或修改任何設定，使用上非常方便，并且未來還可以彈性的擴充其它網絡應用與功能，如OSI第一到第四層的防火墻功能，流量監測與管控功能等等。由于可程序化網絡交換器的可程序化特性，也可彈性搭配各種軟件或硬件來擴充其它網絡應用與功能。

可達成上述發明目的的一種具安全與功能擴充性的有線局域網絡用戶管理系統及方法，是利用網絡控制器來控制可程序化網絡交換器，將未通過認證的使用者轉導到認證服務器，認證服務器提供網頁的方式來做認證，而網絡負載平衡器將封包分散至相同服務功能的不同服務器，提升服務容量與加快服務速度。認證服務器會向存放用戶賬號與密碼等數據的數據庫或服務器進行賬號和密碼的驗證，驗證通過后，認證服務器會通知網絡控制器將動態開通網絡的規則下到可程序化網絡交換器，用戶可正常使用網絡。

另外透過可程序化網絡交換器的特性，可以做到基本OSI第一到第四層的防火墻功能，流量監測與管控等功能，未來也可以搭配各種網絡軟件或硬件來擴充其它網絡應用與功能，例如深度封包檢測與動態防護，訊務分析與監控等等。

本發明提供一種具安全與功能擴充性的有線局域網絡用戶管理系統，是包含一主網絡控制器，該主網絡控制器是提供一管控接口至一終端設備，透過該管控接口查詢、新增或刪除一網絡封包處理規則，一可程序化網絡交換器，該可程序化網絡交換器是與該主網絡控制器連接，并依據該網絡封包處理規則處理封包，一認證服務器，提供一認證網頁使該終端設備向一數據庫做賬號與密碼的驗證，以及呼叫該主網絡控制器提供該管控接口，將該終端設備網絡開通的該網絡封包處理規則下載到該可程序化網絡交換器，一網絡負載平衡器，與該認證服務器，提供平衡網絡流量，即將封包分送至該認證服務器，其中該網絡負載平衡器為軟件式或硬件式，一以太網絡交換器，連接該終端設備與該可程序化網絡交換器，以及一以太局域網絡，透過該以太局域網絡，將該終端設備與該可程序化網絡交換器連接。