CN101984693A - 终端接入局域网的监控方法和监控装置 - Google Patents
终端接入局域网的监控方法和监控装置 Download PDFInfo
- Publication number
- CN101984693A CN101984693A CN2010105465026A CN201010546502A CN101984693A CN 101984693 A CN101984693 A CN 101984693A CN 2010105465026 A CN2010105465026 A CN 2010105465026A CN 201010546502 A CN201010546502 A CN 201010546502A CN 101984693 A CN101984693 A CN 101984693A
- Authority
- CN
- China
- Prior art keywords
- access interface
- lan
- default
- mac address
- corresponding relation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种终端接入局域网的监控方法和监控装置,监控方法为:数据链路层判断预设MAC地址表项中,是否存在接收ARP报文的接入端口与该ARP报文的源MAC地址的第一对应关系;若存在,则向网络层发送ARP报文;网络层判断预设DHCP绑定表项中,是否存在源MAC地址、接入端口、以及与源MAC对应的IP地址三者间的第二对应关系;若存在,则允许发送ARP报文的终端接入局域网。本发明提供的终端接入局域网的监控方法和监控装置,有效地防止了非法终端的接入,以及防止了接入终端的非法操作,提高了局域网的可靠性和安全性。
Description
技术领域
本发明涉及网络通信安全技术,尤其是涉及一种终端接入局域网的监控方法和监控装置。
背景技术
局域网可实现资源共享,但在实现资源共享的同时,也增强了局域网内部病毒传播的速度和增加了病毒传播的途径。因此,及时有效地监控用户终端接入(如个人PC等)的合法性,成为接入交换设备的重要任务之一。
在局域网中,尤其是在政府企业等必须保证网络环境的绝对安全。为了达到网络环境的安全保障,目前是通过登记每个终端的MAC,并对其规划好IP静态分配,以防止人员交叉接入,同时对应接入端口需与个人对应。因此对应的接入交换机需对每个用户接入合法性做严格判别管理。
但是目前解决局域网非法用户接入的问题,一般采用802.1x的认证机制来实现。802.1x认证机制保证了用户本人信息的正确性,但不能保证用户终端的合法性。用户只要拥有认证客户端软件以及认证用户名和密码,就可使用不同的终端进入网络,用户IP不会受到控制,用户可以通过修改IP的方式非法获取网络信息。
发明内容
本发明的主要目的在于提供一种终端接入局域网的监控方法和监控装置,提高局域网的可靠性和安全性。
本发明提出一种终端接入局域网的监控方法,其包括步骤:数据链路层判断预设MAC地址表项中,是否存在接收ARP报文的接入端口与该ARP报文的源MAC地址的第一对应关系;若存在,则向网络层发送ARP报文;
网络层判断预设DHCP绑定表项中,是否存在源MAC地址、接入端口、以及与源MAC对应的IP地址三者间的第二对应关系;
若存在,则允许发送ARP报文的终端接入局域网。
优选地,数据链路层判断预设MAC地址表项中,是否存在接收ARP报文的接入端口与该ARP报文的源MAC地址的第一对应关系之后还包括:
若不存在,则触发告警提示;
判断接入端口是否连接其他终端;
若没有连接其他终端,则断开发送ARP报文的终端与局域网的连接。
优选地,网络层判断预设DHCP绑定表项中,是否存在源MAC地址、接入端口、以及与源MAC对应的IP地址三者间的第二对应关系之后还包括:
若不存在,则触发告警提示;
判断接入端口是否连接其他终端;
若没有连接其他终端,则断开发送ARP报文的终端与局域网的连接。
优选地,允许发送ARP报文的终端接入局域网之后还包括:
数据链路层判断预设MAC地址表项中,是否存在接收数据报文的接入端口与该数据报文的源MAC地址的第三对应关系;若存在,则查找与目的MAC地址对应的出端口,并通过该出端口转发数据报文。
优选地,数据链路层判断预设MAC地址表项中,是否存在接收数据报文的接入端口与该数据报文的源MAC地址的第三对应关系之后还包括:
若不存在,判断预设MAC表项中,是否存在数据报文的源MAC地址;
若是,则根据预设过滤策略,丢弃数据报文,触发告警提示;
判断接入端口是否连接其他终端;
若没有连接其他终端,则断开发送数据报文的终端与局域网的连接。
优选地,判断预设MAC表项中,是否存在数据报文的源MAC地址之后还包括:
若不存在,则判断接入端口的当前MAC地址数是否达到预设阈值;
若否,则建立源MAC地址与接入端口的第三对应关系,将该第三对应关系加入到MAC表项中,然后执行数据链路层判断预设MAC地址表项中,是否存在接收数据报文的接入端口与该数据报文的源MAC地址的第三对应关系的步骤。
优选地,判断接入端口的当前MAC地址数是否达到预设阈值之后还包括:
若是,则根据预设过滤策略,丢弃数据报文,触发告警提示;
判断接入端口是否连接其他终端;
若没有连接其他终端,则断开发送数据报文的终端与局域网的连接。
本发明另提出一种终端接入局域网的监控装置,其包括:包括数据链路层和网络层;数据链路层包括:第一判断模块和发送模块;网络层包括:第二判断模块和处理模块;
第一判断模块,用于判断预设MAC地址表项中,是否存在接收ARP报文的接入端口与该ARP报文的源MAC地址的第一对应关系;发送模块,用于当预设MAC地址表项中存在第一对应关系,向网络层模块发送ARP报文;
第二判断模块,用于判断预设DHCP绑定表项中,是否存在源MAC地址、接入端口、以及与源MAC对应的IP地址三者间的第二对应关系;
处理模块,用于当预设DHCP绑定表项中存在第二对应关系,允许发送ARP报文的终端接入局域网。
优选地,第一判断模块,还用于当预设MAC地址表项中不存在第一对应关系,触发告警提示;判断接入端口是否连接其他终端;以及当接入端口没有连接其他终端,断开发送ARP报文的终端与局域网的连接。
优选地,第二判断模块,还用于当预设DHCP绑定表项中不存在第二对应关系时,触发告警提示;判断接入端口是否连接其他终端;以及当接入端口没有连接其他终端时,断开发送ARP报文的终端与局域网的连接。
优选地,数据链路层还包括:
第三判断模块,用于判断预设MAC地址表项中,是否存在接收数据报文的接入端口与该数据报文的源MAC地址的第三对应关系;以及当预设MAC地址表项中存在第三对应关系时,查找与目的MAC地址对应的出端口,并通过该出端口转发数据报文。
优选地,第三判断模块,还用于当预设MAC地址表项中不存在第三对应关系时,判断预设MAC表项中,是否存在数据报文的源MAC地址;当预设MAC表项中不存在数据报文的源MAC地址时,根据预设过滤策略,丢弃数据报文,触发告警提示;判断接入端口是否连接其他终端;以及当接入端口没有连接其他终端时,断开发送数据报文的终端与局域网的连接。
优选地,第三判断模块,当预设MAC表项中不存在数据报文的源MAC地址时,判断接入端口的当前MAC地址数是否达到预设阈值;以及当接入端口的当前MAC地址数没有达到预设阈值时,建立源MAC地址与接入端口的第三对应关系,并将该地三对应关系加入到MAC表项中。
优选地,第三判断模块,还用当接入端口的当前MAC地址数达到预设阈值时,根据预设过滤策略,丢弃数据报文,触发告警提示;判断接入端口是否连接其他终端;以及当接入端口没有连接其他终端时,断开发送数据报文的终端与局域网的连接。
由上可知,本发明提供的终端接入局域网的监控方法和监控装置,通过数据链路层判断预设MAC地址表项中,是否存在接收ARP报文的接入端口与该ARP报文的源MAC地址的第一对应关系;若存在,则向网络层发送ARP报文;网络层判断预设DHCP绑定表项中,是否存在源MAC地址、接入端口、以及与源MAC对应的IP地址三者间的第二对应关系;若存在,则允许发送ARP报文的终端接入局域网的方式,有效地防止了非法终端的接入,以及防止了接入终端的非法操作,提高了局域网的可靠性和安全性。
附图说明
图1是本发明的终端接入局域网的监控方法一实施例的流程图;
图2是本发明的终端接入局域网的监控方法实施例的另一流程图;
图3是本发明的终端接入局域网的监控装置一实施例的结构示意图;
图4是本发明的终端接入局域网的监控装置实施例的另一结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参见图1,提出本发明的一种终端接入局域网的监控方法一实施例,包括:步骤S101、数据链路层判断预设MAC地址表项中,是否存在接收ARP报文的接入端口与该ARP报文的源MAC地址的第一对应关系;步骤S102、当预设MAC地址表项中存在第一对应关系,则向网络层发送ARP报文;
步骤S103、网络层判断预设DHCP绑定表项中,是否存在源MAC地址、接入端口、以及与源MAC对应的IP地址三者间的第二对应关系;
步骤S104、当预设DHCP绑定表项中存在第二对应关系,则允许发送ARP报文的终端接入局域网。
终端接入局域网后,若修改其自身的MAC地址或IP地址,需更新ARP信息,同时还需向数据链路层发送ARP报文。但该修改有可能是非法的。一旦非法终端接入局域网,则会产生安全隐患。上述终端接入局域网的监控非法实施例,通过数据链路层判断是否存在对应的第一对应关系,以及网络层判断是否存在对应的第二对应关系,以确定是否允许终端接入局域网,可以有效地防止非法终端的接入,确保了局域网的安全性,同时还提高了系统的灵活性。
进一步地,上述终端接入局域网的监控方法实施例的步骤S101还包括如下处理:当预设MAC地址表项中不存在第一对应关系,则触发告警提示;判断接入端口是否连接其他终端;当接入端口没有连接其他终端,则断开发送ARP报文的终端与局域网的连接。
进一步地,上述终端接入局域网的监控方法实施例的步骤S103之后还包括如下处理:当预设DHCP绑定表项中不存在第二对应关系,则触发告警提示;判断接入端口是否连接其他终端;当接入端口没有连接其他终端,则断开发送ARP报文的终端与局域网的连接。
以上所述的实施例中,一个接入端口中可能接入一个或多个终端。当一个接入端口接入有多个终端。当预设MAC地址表项中不存在第一终端对应的第一对应关系时,或当预设DHCP绑定表项中不存在所述第一终端对应的第二对应关系时,触发告警提示,以告知管理人员,使管理人员采取相应的处理策略,以阻止所述第一终端的接入。
当一个接入端口只接入有一个终端,且预设MAC地址表项中不存在该终端对应的第一对应关系时,或预设DHCP绑定表项中不存在该终端对应的第二对应关系时,触发告警提示,以告知管理人员,同时断开该终端与局域网的连接以阻止该终端的接入。
进一步地,参见图2,上述终端接入局域网的监控方法实施例的步骤S104之后还包括:
步骤S201、数据链路层判断预设MAC地址表项中,是否存在接收数据报文的接入端口与该数据报文的源MAC地址的第三对应关系;
步骤S202、当预设MAC地址表项中存在第三对应关系,则查找与目的MAC地址对应的出端口,并通过该出端口转发数据报文。
当终端需与局域网交互信息时,需要向交换机发送数据报文,但发送数据报文的终端有可能是非法,上述实施例通过判断接收数据报文的接入端口和该数据报文的源MAC地址是否建立一一对应的第三对应关系,在确定接收数据报文的接入端口和该数据报文的源MAC地址建立有一一对应的第三对应关系才执行数据报文转发,有效地防止了数据报文转发错误的发生,即防止了接入终端的非法操作,从而保证了局域网的可靠性和安全性。
进一步地,上述终端接入局域网的监控方法实施例的步骤S201之后还包括如下处理:当预设MAC地址表项中不存在第三对应关系,判断预设MAC表项中,是否存在数据报文的源MAC地址;预设MAC表项存在数据报文的源MAC地址,则根据预设过滤策略,丢弃数据报文,触发告警提示;判断接入端口是否连接其他终端;当接入端口没有连接其他终端,则断开发送数据报文的终端与局域网的连接。
进一步地,上述终端接入局域网的监控方法实施例中,判断预设MAC表项中,是否存在数据报文的源MAC地址之后还包括如下处理:当预设MAC表项不存在数据报文的源MAC地址,则判断接入端口的当前MAC地址数是否达到预设阈值;当接入端口的当前MAC地址数未达到预设阈值,则建立源MAC地址与接入端口的第三对应关系,将该第三对应关系加入到MAC表项中,然后返回执行上述步骤S201。
进一步地,上述终端接入局域网的监控方法实施例中,判断接入端口的当前MAC地址数是否达到预设阈值之后还包括:当接入端口的当前MAC地址数达到预设阈值,则根据预设过滤策略,丢弃数据报文,触发告警提示;判断接入端口是否连接其他终端;当接入端口没有连接其他终端,则断开发送数据报文的终端与局域网的连接。
以上实施例中,数据链路层接收到数据报文时,首先判断预设MAC地址表项中是否存在第三对应关系,当不存在对应的第三对应关系,包括两种情况:
第一种情况是数据报文中的源MAC地址为非法源地址,即预设MAC地址表项中存在对应的源MAC,但在预设MAC地址表项中不存在与该源MAC地址建立一一对应的第三对应关系。
第二种情况是数据报文中的源MAC地址为未知源MAC地址,即预设MAC地址表项中不存在对应的源M AC。该第二种情况由分为两种子情况,其中一种是该未知源MAC地址为未绑定合法源MAC,即接入端口的当前MAC地址数没有达到预设阈值,该未知源MAC地址可以通过学习策略加入到预设MAC表项中,并在该表项中建立源MAC地址与接收数据报文的接入端口间的第三对应关系,使之成为合法的源MAC地址。另一种是,接入端口的当前MAC地址数达到预设阈值,则该未知源MAC地址被认为非法源MAC地址。
以上所述的实施例中,对合法源MAC地址,则执行相应的数据报文转发;而对非法源MAC地址,则丢弃相应的数据报文,并触发告警提示,以告知管理人员,以使管理人员采取相应的应对措施。
同时,在触发告警提示之后,还需判断接入端口是否接入的其他终端,若没有接入其他终端,则直接断开该终端与局域网的连接,以阻止该终端的接入。若接入端口还接入有其他终端,只能触发告警提示,而不能直接断开终端与局域网的连接。
参见图3,提出本发明的终端接入局域网的监控装置100一实施例,其包括:包括数据链路层10和网络层20;数据链路层10包括:第一判断模块11和发送模块12;网络层包括:第二判断模块21和处理模块22。其中,第一判断模块11,用于判断预设MAC地址表项中,是否存在接收ARP报文的接入端口与该ARP报文的源MAC地址的第一对应关系。发送模块12,用于当预设MAC地址表项中存在第一对应关系,向网络层模块发送ARP报文。第二判断模块21,用于判断预设DHCP绑定表项中,是否存在源MAC地址、接入端口、以及与源MAC对应的IP地址三者间的第二对应关系。处理模块22,用于当预设DHCP绑定表项中存在第二对应关系,允许发送ARP报文的终端接入局域网。
终端接入局域网后,若修改其自身的MAC地址或IP地址,需更新ARP信息,同时还需向数据链路层发送ARP报文。但该修改有可能是非法的。一旦非法终端接入局域网,则会产生安全隐患。上述终端接入局域网的监控非法实施例,通过数据链路层判断是否存在对应的第一对应关系,以及网络层判断是否存在对应的第二对应关系,以确定是否允许终端接入局域网,可以有效地防止非法终端的接入,确保了局域网的安全性,同时还提高了系统的灵活性。
进一步地,上述终端接入局域网的监控装置100实施例中,第一判断模块11,还用于当预设MAC地址表项中不存在第一对应关系,触发告警提示;判断接入端口是否连接其他终端;以及当接入端口没有连接其他终端,断开发送ARP报文的终端与局域网的连接。
进一步地,终端接入局域网的监控装置100实施例中,第二判断模块21,还用于当预设DHCP绑定表项中不存在第二对应关系时,触发告警提示;判断接入端口是否连接其他终端;以及当接入端口没有连接其他终端时,断开发送ARP报文的终端与局域网的连接。
以上所述的实施例中,一个接入端口中可能接入一个或多个终端。当一个接入端口接入有多个终端。当预设MAC地址表项中不存在第一终端对应的第一对应关系时,或当预设DHCP绑定表项中不存在所述第一终端对应的第二对应关系时,触发告警提示,以告知管理人员,使管理人员采取相应的处理策略,以阻止所述第一终端的接入。
当一个接入端口只接入有一个终端,且预设MAC地址表项中不存在该终端对应的第一对应关系时,或预设DHCP绑定表项中不存在该终端对应的第二对应关系时,触发告警提示,以告知管理人员,同时断开该终端与局域网的连接以阻止该终端的接入。
进一步地,参见图4,上述终端接入局域网的监控装置100实施例中的数据链路层20还包括第三判断模块23。其中第三判断模块23,用于判断预设MAC地址表项中,是否存在接收数据报文的接入端口与该数据报文的源MAC地址的第三对应关系;以及当预设MAC地址表项中存在第三对应关系时,查找与目的MAC地址对应的出端口,并通过该出端口转发数据报文。
当终端需与局域网交互信息时,需要向交换机发送数据报文,但发送数据报文的终端有可能是非法,上述实施例通过判断接收数据报文的接入端口和该数据报文的源MAC地址是否建立一一对应的第三对应关系,在确定接收数据报文的接入端口和该数据报文的源MAC地址建立有一一对应的第三对应关系才执行数据报文转发,有效地防止了数据报文转发错误的发生,即防止了接入终端的非法操作,从而保证了局域网的可靠性和安全性。
进一步地,上述终端接入局域网的监控装置100实施例中,第三判断模块23,还用于当预设MAC地址表项中不存在第三对应关系时,判断预设MAC表项中,是否存在数据报文的源MAC地址;当预设MAC表项中不存在数据报文的源MAC地址时,根据预设过滤策略,丢弃数据报文,触发告警提示;判断接入端口是否连接其他终端;以及当接入端口没有连接其他终端时,断开发送数据报文的终端与局域网的连接。
进一步地,上述终端接入局域网的监控装置100实施例中,第三判断模块23,当预设MAC表项中不存在数据报文的源MAC地址时,判断接入端口的当前MAC地址数是否达到预设阈值;以及当接入端口的当前MAC地址数没有达到预设阈值时,建立源MAC地址与接入端口的第三对应关系,并将该地三对应关系加入到MAC表项中。
进一步地,上述终端接入局域网的监控装置100实施例中,第三判断模块23,还用当接入端口的当前MAC地址数达到预设阈值时,根据预设过滤策略,丢弃数据报文,触发告警提示;判断接入端口是否连接其他终端;当接入端口没有连接其他终端时,断开发送数据报文的终端与局域网的连接。
以上实施例中,数据链路层接收到数据报文时,首先判断预设MAC地址表项中是否存在第三对应关系,当不存在对应的第三对应关系,包括两种情况:
第一种情况是数据报文中的源MAC地址为非法源地址,即预设MAC地址表项中存在对应的源MAC,但在预设MAC地址表项中不存在与该源MAC地址建立一一对应的第三对应关系。
第二种情况是数据报文中的源MAC地址为未知源MAC地址,即预设MAC地址表项中不存在对应的源MAC。该第二种情况由分为两种子情况,其中一种是该未知源MAC地址为未绑定合法源MAC,即接入端口的当前MAC地址数没有达到预设阈值,该未知源MAC地址可以通过学习策略加入到预设MAC表项中,并在该表项中建立源MAC地址与接收数据报文的接入端口间的第三对应关系,使之成为合法的源MAC地址。另一种是,接入端口的当前MAC地址数达到预设阈值,则该未知源MAC地址被认为非法源MAC地址。
以上所述的实施例中,对合法源MAC地址,则执行相应的数据报文转发;而对非法源MAC地址,则丢弃相应的数据报文,并触发告警提示,以告知管理人员,以使管理人员采取相应的应对措施。
同时,在触发告警提示之后,还需判断接入端口是否接入其他终端,若没有接入其他终端,则直接断开该终端与局域网的连接,以阻止该终端的接入。若接入端口还接入有其他终端,只能触发告警提示,而不能直接断开终端与局域网的连接。
应当理解的是,以上仅为本发明的优选实施例,不能因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (14)
1.一种终端接入局域网的监控方法,其特征在于,包括步骤:
数据链路层判断预设MAC地址表项中,是否存在接收ARP报文的接入端口与该ARP报文的源MAC地址的第一对应关系;
若存在,则向网络层发送ARP报文;
网络层判断预设DHCP绑定表项中,是否存在源MAC地址、接入端口、以及与源MAC对应的IP地址三者间的第二对应关系;
若存在,则允许发送ARP报文的终端接入局域网。
2.根据权利要求1的终端接入局域网的监控方法,其特征在于,数据链路层判断预设MAC地址表项中,是否存在接收ARP报文的接入端口与该ARP报文的源MAC地址的第一对应关系之后还包括:
若不存在,则触发告警提示;
判断接入端口是否连接其他终端;
若没有连接其他终端,则断开发送ARP报文的终端与局域网的连接。
3.根据权利要求1的终端接入局域网的监控方法,其特征在于,网络层判断预设DHCP绑定表项中,是否存在源MAC地址、接入端口、以及与源MAC对应的IP地址三者间的第二对应关系之后还包括:
若不存在,则触发告警提示;
判断接入端口是否连接其他终端;
若没有连接其他终端,则断开发送ARP报文的终端与局域网的连接。
4.根据权利要求1的终端接入局域网的监控方法,其特征在于,允许发送ARP报文的终端接入局域网之后还包括:
数据链路层判断预设MAC地址表项中,是否存在接收数据报文的接入端口与该数据报文的源MAC地址的第三对应关系;
若存在,则查找与目的MAC地址对应的出端口,并通过该出端口转发数据报文。
5.根据权利要求4的终端接入局域网的监控方法,其特征在于,数据链路层判断预设MAC地址表项中,是否存在接收数据报文的接入端口与该数据报文的源MAC地址的第三对应关系之后还包括:
若不存在,判断预设MAC表项中,是否存在数据报文的源MAC地址;
若是,则根据预设过滤策略,丢弃数据报文,触发告警提示;
判断接入端口是否连接其他终端;
若没有连接其他终端,则断开发送数据报文的终端与局域网的连接。
6.根据权利要求5的终端接入局域网的监控方法,其特征在于,判断预设MAC表项中,是否存在数据报文的源MAC地址之后还包括:
若不存在,则判断接入端口的当前MAC地址数是否达到预设阈值;
若否,则建立源MAC地址与接入端口的第三对应关系,将该第三对应关系加入到MAC表项中,然后执行数据链路层判断预设MAC地址表项中,是否存在接收数据报文的接入端口与该数据报文的源MAC地址的第三对应关系的步骤。
7.根据权利要求6的终端接入局域网的监控方法,其特征在于,判断接入端口的当前MAC地址数是否达到预设阈值之后还包括:
若是,则根据预设过滤策略,丢弃数据报文,触发告警提示;
判断接入端口是否连接其他终端;
若没有连接其他终端,则断开发送数据报文的终端与局域网的连接。
8.一种终端接入局域网的监控装置,其特征在于,包括:包括数据链路层和网络层;数据链路层包括:第一判断模块和发送模块;网络层包括:第二判断模块和处理模块;
第一判断模块,用于判断预设MAC地址表项中,是否存在接收ARP报文的接入端口与该ARP报文的源MAC地址的第一对应关系;
发送模块,用于当预设MAC地址表项中存在第一对应关系,向网络层模块发送ARP报文;
第二判断模块,用于判断预设DHCP绑定表项中,是否存在源MAC地址、接入端口、以及与源MAC对应的IP地址三者间的第二对应关系;
处理模块,用于当预设DHCP绑定表项中存在第二对应关系,允许发送ARP报文的终端接入局域网。
9.根据权利要求8的终端接入局域网的监控装置,其特征在于,
第一判断模块,还用于当预设MAC地址表项中不存在第一对应关系,触发告警提示;判断接入端口是否连接其他终端;以及当接入端口没有连接其他终端,断开发送ARP报文的终端与局域网的连接。
10.根据权利要求8的终端接入局域网的监控装置,其特征在于,
第二判断模块,还用于当预设DHCP绑定表项中不存在第二对应关系时,触发告警提示;判断接入端口是否连接其他终端;以及当接入端口没有连接其他终端时,断开发送ARP报文的终端与局域网的连接。
11.根据权利要求8的终端接入局域网的监控装置,其特征在于,数据链路层还包括:
第三判断模块,用于判断预设MAC地址表项中,是否存在接收数据报文的接入端口与该数据报文的源MAC地址的第三对应关系;以及当预设MAC地址表项中存在第三对应关系时,查找与目的MAC地址对应的出端口,并通过该出端口转发数据报文。
12.根据权利要求11的终端接入局域网的监控装置,其特征在于,
第三判断模块,还用于当预设MAC地址表项中不存在第三对应关系时,判断预设MAC表项中,是否存在数据报文的源MAC地址;当预设MAC表项中不存在数据报文的源MAC地址时,根据预设过滤策略,丢弃数据报文,触发告警提示;判断接入端口是否连接其他终端;以及当接入端口没有连接其他终端时,断开发送数据报文的终端与局域网的连接。
13.根据权利要求12的终端接入局域网的监控装置,其特征在于,
第三判断模块,当预设MAC表项中不存在数据报文的源MAC地址时,判断接入端口的当前MAC地址数是否达到预设阈值;以及当接入端口的当前MAC地址数没有达到预设阈值时,建立源MAC地址与接入端口的第三对应关系,并将该地三对应关系加入到MAC表项中。
14.根据权利要求13的终端接入局域网的监控装置,其特征在于,
第三判断模块,还用当接入端口的当前MAC地址数达到预设阈值时,根据预设过滤策略,丢弃数据报文,触发告警提示;判断接入端口是否连接其他终端;以及当接入端口没有连接其他终端时,断开发送数据报文的终端与局域网的连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105465026A CN101984693A (zh) | 2010-11-16 | 2010-11-16 | 终端接入局域网的监控方法和监控装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105465026A CN101984693A (zh) | 2010-11-16 | 2010-11-16 | 终端接入局域网的监控方法和监控装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101984693A true CN101984693A (zh) | 2011-03-09 |
Family
ID=43641863
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105465026A Pending CN101984693A (zh) | 2010-11-16 | 2010-11-16 | 终端接入局域网的监控方法和监控装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101984693A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102118271A (zh) * | 2011-03-29 | 2011-07-06 | 上海北塔软件股份有限公司 | 发现非法接入设备的方法 |
| CN102572000A (zh) * | 2010-12-31 | 2012-07-11 | 中国移动通信集团陕西有限公司 | 地址监控方法及装置 |
| CN104601566A (zh) * | 2015-01-08 | 2015-05-06 | 杭州华三通信技术有限公司 | 认证方法以及装置 |
| CN104796383A (zh) * | 2014-01-20 | 2015-07-22 | 杭州华三通信技术有限公司 | 一种终端信息防篡改的方法和装置 |
| CN105245386A (zh) * | 2015-10-26 | 2016-01-13 | 上海华讯网络系统有限公司 | 服务器连接关系的自动定位方法和系统 |
| CN105610588A (zh) * | 2015-12-18 | 2016-05-25 | 福建星网锐捷网络有限公司 | 一种哑设备的控制方法及装置 |
| CN108156092A (zh) * | 2017-12-05 | 2018-06-12 | 杭州迪普科技股份有限公司 | 报文传输控制方法和装置 |
| CN112187740A (zh) * | 2020-09-14 | 2021-01-05 | 锐捷网络股份有限公司 | 一种网络接入控制方法、装置、电子设备及存储介质 |
| CN112532623A (zh) * | 2020-11-27 | 2021-03-19 | 杭州安恒信息安全技术有限公司 | 一种网络隐患检测方法、装置、存储介质及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1416239A (zh) * | 2001-10-31 | 2003-05-07 | 华为技术有限公司 | 光纤同轴混合接入网中的虚拟局域网接入方法 |
| CN1695341A (zh) * | 2002-11-06 | 2005-11-09 | 艾利森电话股份有限公司 | 防止非法使用ip地址的方法和装置 |
| US20060209688A1 (en) * | 2005-03-02 | 2006-09-21 | Hitachi Communication Technologies, Ltd. | Packet forwarding apparatus |
| CN101834870A (zh) * | 2010-05-13 | 2010-09-15 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗攻击的方法和装置 |
-
2010
- 2010-11-16 CN CN2010105465026A patent/CN101984693A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1416239A (zh) * | 2001-10-31 | 2003-05-07 | 华为技术有限公司 | 光纤同轴混合接入网中的虚拟局域网接入方法 |
| CN1695341A (zh) * | 2002-11-06 | 2005-11-09 | 艾利森电话股份有限公司 | 防止非法使用ip地址的方法和装置 |
| US20060209688A1 (en) * | 2005-03-02 | 2006-09-21 | Hitachi Communication Technologies, Ltd. | Packet forwarding apparatus |
| CN101834870A (zh) * | 2010-05-13 | 2010-09-15 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗攻击的方法和装置 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102572000A (zh) * | 2010-12-31 | 2012-07-11 | 中国移动通信集团陕西有限公司 | 地址监控方法及装置 |
| CN102572000B (zh) * | 2010-12-31 | 2014-10-01 | 中国移动通信集团陕西有限公司 | 地址监控方法及装置 |
| CN102118271B (zh) * | 2011-03-29 | 2013-03-27 | 上海北塔软件股份有限公司 | 发现非法接入设备的方法 |
| CN102118271A (zh) * | 2011-03-29 | 2011-07-06 | 上海北塔软件股份有限公司 | 发现非法接入设备的方法 |
| CN104796383B (zh) * | 2014-01-20 | 2018-12-25 | 新华三技术有限公司 | 一种终端信息防篡改的方法和装置 |
| CN104796383A (zh) * | 2014-01-20 | 2015-07-22 | 杭州华三通信技术有限公司 | 一种终端信息防篡改的方法和装置 |
| CN104601566A (zh) * | 2015-01-08 | 2015-05-06 | 杭州华三通信技术有限公司 | 认证方法以及装置 |
| CN104601566B (zh) * | 2015-01-08 | 2018-07-24 | 新华三技术有限公司 | 认证方法以及装置 |
| CN105245386A (zh) * | 2015-10-26 | 2016-01-13 | 上海华讯网络系统有限公司 | 服务器连接关系的自动定位方法和系统 |
| CN105245386B (zh) * | 2015-10-26 | 2018-07-20 | 上海华讯网络系统有限公司 | 服务器连接关系的自动定位方法和系统 |
| CN105610588A (zh) * | 2015-12-18 | 2016-05-25 | 福建星网锐捷网络有限公司 | 一种哑设备的控制方法及装置 |
| CN108156092A (zh) * | 2017-12-05 | 2018-06-12 | 杭州迪普科技股份有限公司 | 报文传输控制方法和装置 |
| CN108156092B (zh) * | 2017-12-05 | 2021-07-23 | 杭州迪普科技股份有限公司 | 报文传输控制方法和装置 |
| CN112187740A (zh) * | 2020-09-14 | 2021-01-05 | 锐捷网络股份有限公司 | 一种网络接入控制方法、装置、电子设备及存储介质 |
| CN112187740B (zh) * | 2020-09-14 | 2022-09-16 | 锐捷网络股份有限公司 | 一种网络接入控制方法、装置、电子设备及存储介质 |
| CN112532623A (zh) * | 2020-11-27 | 2021-03-19 | 杭州安恒信息安全技术有限公司 | 一种网络隐患检测方法、装置、存储介质及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101984693A (zh) | 终端接入局域网的监控方法和监控装置 | |
| CN101378395B (zh) | 一种防止拒绝访问攻击的方法及装置 | |
| CN101455041B (zh) | 网络环境的检测 | |
| CN101277308B (zh) | 一种隔离内外网络的方法、认证服务器及接入交换机 | |
| CN101820344B (zh) | Aaa服务器、家庭网络接入方法和系统 | |
| JP2022003792A (ja) | 端末及び端末の方法 | |
| US8065402B2 (en) | Network management using short message service | |
| EP1502463B1 (en) | Method , apparatus and computer program product for checking the secure use of routing address information of a wireless terminal device in a wireless local area network | |
| CN102480729B (zh) | 无线接入网中防止假冒用户的方法及接入点 | |
| CN102594814A (zh) | 基于端末的网络访问控制系统 | |
| CN102882828A (zh) | 一种内网与外网间的信息安全传输控制方法及其网关 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| CN101834870A (zh) | 一种防止mac地址欺骗攻击的方法和装置 | |
| CN101252584B (zh) | 双向转发检测协议会话的认证方法、系统和设备 | |
| KR101382525B1 (ko) | 무선 네트워크 보안 시스템 | |
| CN102438028A (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
| CN104660449B (zh) | 防止堆叠分裂多主设备Master的方法和设备 | |
| CN106302371A (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
| CN107864162A (zh) | 融合网关双系统及其通信安全保护方法 | |
| CN102137073B (zh) | 一种防止仿冒ip地址进行攻击的方法和接入设备 | |
| CN105392137A (zh) | 家庭wifi防盗用的方法、无线路由器及终端设备 | |
| CN107749863B (zh) | 一种信息系统网络安全隔离的方法 | |
| CN104270317B (zh) | 一种路由器运行应用程序的控制方法、系统及路由器 | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN102664804A (zh) | 网络设备实现网桥功能的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110309 |