本發明實施例提供一種終端準入控制方法、控制器、管控設備、接入設備及系統。所述方法包括：物聯終端接入網絡后通過上送ARP報文至SDN控制器管控，SDN控制器根據物聯終端標識進行審批，并向管控設備下發根據合法終端生成的終端接入控制表，管控設備僅根據終端接入控制表進行物聯終端的入網控制，從而阻斷未審批終端聯網，解決了新增物聯終端接入上線周期長、配置操作復雜等導致網絡故障的問題，通過簡化物聯終端入網審批過程，提高了物聯終端入網效率和對物聯終端的安全防護，降低了網絡維護成本。

技術領域

本發明實施例涉及通信技術領域，具體涉及一種終端準入控制方法、控制器、管控設備、接入設備及系統。

背景技術

隨著高清視頻、云服務、社交應用、Web 2.0等應用普及，網絡接入帶寬規模在幾年內形成幾何級數的增長，同時移動終端高速普及，無線網絡接入的需求也在校園網內逐步形成規模：一個學生配備多個上網設備已成為主流，并且智慧校園軟件的不斷發展及豐富，校園網承載業務日趨增多。在這種場景下，存在以下問題：如果網絡中的物聯終端設備直接連入教學娛樂網，將存在安全隱患，且不易管理。當網絡出現攻擊行為或者用戶故障時，管理人員無法快速并準確的定位用戶位置或者用戶身份，無法快速的解決網絡問題，影響到整個網絡的使用體驗。

基于安全考慮，通常會進行物聯終端的準入控制，合法的終端才允許接入網絡。而通常的準入控制方案一般使用準入認證，但準入認證會引入諸如不穩定及使用維護麻煩等問題，因此實際終端設備基本不會部署，而使用對接入設備進行IP+MAC(Media AccessControl，媒體訪問控制)綁定替代準入認證。IP+MAC綁定通過DHCP(Dynamic HostConfiguration Protocol，動態主機配置協議)做動態綁定時，DHCP無法識別合法終端MAC地址，并且存在接入設備品牌綁定的問題。

目前通常采用靜態IP+MAC進行綁定，以靜態IP非認證物聯終端上線場景為例，通常需要以下步驟：首先業務部門向網絡中心申請一個靜態IP地址；網絡部門為物聯終端分配一個IP地址，通過人工錄入Excel，記錄物聯終端和對應的IP地址；協調運維人員，到現場找到物聯終端接入的交換機和接入端口，如果已收集了終端MAC地址，則通過登錄交換機查看MAC地址，若找不到終端MAC地址，則需要通過網線的標記來查找對應的網口；之后網絡中心為物聯終端單獨劃分一個VLAN(Virtual Local Area Network，虛擬局域網)，然后關閉終端接入端口的動態IP地址檢查，關閉端口的認證或者將其配置成MAC無感知準入；最后根據物聯終端的特性為其分配訪問策略，從而完成物聯終端的入網過程。

然而，采用靜態IP+MAC進行綁定時，新增終端接入上線周期較長，且配置操作復雜，通過網線的標記來查找對應的網口，由于網線密集，查找耗時較長，同時由于關閉了端口安全檢查，存在網絡安全隱患。當終端用戶遷移時，需要重新進行IP地址分配，訪問策略也需要重新配置，并且，由于依賴運維人員人工錄入合法物聯終端及其IP地址，容易存在錯誤配置、漏配置的情況，導致網絡故障。

發明內容

針對現有技術中的缺陷，本發明實施例提供了一種終端準入控制方法、控制器、管控設備、接入設備及系統。

第一方面，本發明實施例提供一種終端準入控制方法，包括：

接收管控設備轉發的來自物聯終端的ARP請求報文，所述ARP請求報文攜帶物聯終端的終端標識；

根據所述終端標識匹配預設合法終端列表，判斷所述物聯終端是否為合法終端；

若所述物聯終端為合法終端，則根據所述物聯終端的終端標識，生成終端接入控制表；

若所述物聯終端為非合法終端，則將所述物聯終端的終端標識發送至待審批列表，并在所述物聯終端審批通過后，根據所述物聯終端的終端標識，生成終端接入控制表；