本發明提出了一種針對集線器的內網邊界管控方法，包括：對內網邊界設備進行認證；當內網邊界設備未通過認證時，將未通過認證的內網邊界設備的MAC地址與虛擬IP_X地址進行綁定，得到MAC?IP_X地址；將未通過認證的內網邊界設備的IP地址與虛擬MAC_x地址進行綁定，得到MAC_x?IP地址；分別將MAC?IP_X地址和MAC_x?IP地址與交換機進行綁定；根據MAC?IP_X地址和MAC_x?IP地址阻止未通過認證的內網邊界設備接入內網。本發明能夠在不影響集線器端口上連接的合規設備的同時阻斷不合規設備的接入。

技術領域

本發明涉及網絡安全技術領域，具體涉及一種針對集線器的內網邊界管控方法。

背景技術

內網存在數量龐大的未知類型的接入層設備，然而，絕大部分的網管系統只管理核心交換機、路由器及匯聚交換等關鍵的網絡設備，內網終端接入的安全管理不能達到100％覆蓋，傳播病毒、信息竊取、網絡攻擊等嚴重威脅著內網的安全運行，對網絡邊界進行有效控制勢在必行。

現有的內網終端接入的安全控制方法，通過獲取終端設備的MAC地址，并與認證設備數據庫中的終端進行對比，將未通過認證的設備的端口關閉。然而，內網中還存在不可網管的集線器，通常集線器會連接在可網管交換機上，由于集線器沒有MAC地址，當集線器端口上連接有不合規設備時，如果直接將集線器上游交換機對應的端口關閉，會影響集線器端口上連接的合規設備的正常接入。

發明內容

鑒于上述的分析，本發明提出了一種針對集線器的內網邊界管控方法，用以解決現有技術無法在不影響集線器端口上連接的合規設備的同時阻斷不合規設備的問題。

為實現上述目的，本發明采用如下技術方案：

本發明第一方面，提供了一種針對集線器的內網邊界管控方法，包括：對內網邊界設備進行認證；當所述內網邊界設備未通過認證時，將未通過認證的內網邊界設備的MAC地址與虛擬IP_X地址進行綁定，得到MAC-IP_X地址；將所述未通過認證的內網邊界設備的IP地址與虛擬MAC_x地址進行綁定，得到MAC_x-IP地址；分別將所述MAC-IP_X地址和MAC_x-IP地址與交換機進行綁定；根據所述MAC-IP_X地址和MAC_x-IP地址阻止所述未通過認證的內網邊界設備接入內網。

作為一種優選的實施方式，當所述內網邊界設備未通過認證時，判斷未通過認證的內網邊界設備是否與集線器連接；當所述未通過認證的內網邊界設備與所述集線器連接時，執行將所述MAC地址與預設的虛擬IP_X地址進行綁定以及將所述IP地址與預設的虛擬MAC_x地址進行綁定的步驟。

作為一種優選的實施方式，在對內網邊界設備進行認證之前，還包括：通過在交換機上定期輪詢的方式獲取內網邊界設備的MAC-IP-Switch-Port對應表。

作為一種優選的實施方式，對內網邊界設備進行認證，包括：當第一次獲取內網邊界設備的MAC-IP-Switch-Port對應表時，將所述MAC-IP-Switch-Port對應表存入在線設備緩存中，并將內網邊界設備的MAC-IP-Switch-Port對應表與認證設備數據庫中的MAC數據進行對比；當所述內網邊界設備的MAC地址不在認證設備數據庫，則判定所述內網邊界設備未通過認證。