CN103078813A - 基于snmp协议的终端安全接入的控制方法 - Google Patents
基于snmp协议的终端安全接入的控制方法 Download PDFInfo
- Publication number
- CN103078813A CN103078813A CN2013100007330A CN201310000733A CN103078813A CN 103078813 A CN103078813 A CN 103078813A CN 2013100007330 A CN2013100007330 A CN 2013100007330A CN 201310000733 A CN201310000733 A CN 201310000733A CN 103078813 A CN103078813 A CN 103078813A
- Authority
- CN
- China
- Prior art keywords
- access
- terminal
- switch
- port
- mac address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种基于SNMP协议的终端安全接入的控制方法。本发明的控制方法为首先设置交换机端口与MAC地址的关系,提供终端设备MAC地址接入网络的控制;当终端设备通过网线接入交换机时,终端交换机使用TRAP消息上报控制系统接入MAC的地址,控制系统判断该MAC地址允许从该端口接入时,交换机的该端口被配置为启用状态;当判断该MAC地址为非法接入时,阻断该端口;当非法接入连线被移除后,控制系统通过SNMP协议下发终端交换机该的端口状态为默认状态实现单一MAC地址在特定终端交换机或特定区域内多交换机的接入控制。本发明降低了系统整体迁移的成本和难度,为企业节约大量基础设施部署成本,部署及操作较简单。
Description
技术领域
本发明涉及终端安全接入控制领域,尤其涉及一种基于SNMP协议的终端安全接入的控制方法。
背景技术
当前企业局域网环境安全问题突出,企业面临内部威胁、分支机构、访客和移动办公等带来的终端接入控制压力,以利益驱动的专业黑客往往锁定企业终端为目标,利用终端中的安全漏洞,获取对重要资源未经授权的访问,进而对核心业务系统发起攻击,造成数据被窃听或破坏,核心业务中断、恶意代码、信息泄密等安全事故,使企业业务和信誉受到损失。
SNMTP(简单网络管理协议)作为一种通用安全管理标准协议,能够实时监控各种网络设备的运行状态及数据交换信息,如交换机各端口接入IP、MAC及数据传输的动态信息。当非法主机接入时,可通过SNMP获取其MAC地址并进行身份认证,并通过关闭该主机连接的设备端口实现对非法连接的阻断,结合多台网络设备接入信息的集中管控,还可以实现移动主机的跨设备、跨区域认证与数据传输控制。
发明内容:
本发明所解决的技术问题是提供一种可解决企业局域网环境中终端非法接入的问题,同时在大中型环境中实现移动终端漫游控制功能,解决了企业非法终端接入的安全问题,同时实现了移动办公的需求,采用SNMP协议来实现,网络适应性强,降低了系统整体迁移的成本和难度,可充分利用现有的网络架构,不必进行昂贵的网络架构改造的基于SNMP协议的终端安全接入的控制方法。
为解决上述的技术问题,本实用新型采取的技术方案:
一种基于SNMP协议的终端安全接入的控制方法,其特殊之处在于:所述控制方法为首先设置交换机端口与MAC地址的关系,提供终端设备MAC地址接入网络的控制;当终端设备通过网线接入交换机时,终端交换机使用TRAP消息上报控制系统接入MAC的地址,控制系统判断该MAC地址允许从该端口接入时,交换机的该端口被配置为启用状态;当判断该MAC地址为非法接入时,阻断该端口;当非法接入连线被移除后,控制系统通过SNMP协议下发终端交换机该的端口状态为默认状态实现单一MAC地址在特定终端交换机或特定区域内多交换机的接入控制。
上述的基于SNMP协议的终端安全接入的控制方法的步骤如下:
步骤一:启用交换机的SNMP模块,交换机配置陷阱主机为终端接入控制系统, 终端接入控制系统配置交换机的SNMP主机信息,设置交换机对应的合法MAC地址;
步骤二:终端设备连接到交换机端口,交换机使用TRAP消息将端口接入信息发送至终端接入控制系统;
步骤三:终端接入控制系统使用SNMP获取当前接入端口学习到动态MAC表,与该端口对应的合法MAC地址信息进行对照匹配,判断当前该端口接入MAC地址是否含有非法终端MAC;
步骤四:当MAC地址相同时回应终端接入正常状态,接口工作正常;当MAC地址不匹配时,发送SNMP-SET命令设置该端口为关闭状态,接入该端口的终端无法使用;
步骤五:当连接到交换机端口上的终端设备发生变化,重复执行步骤二到步骤五。
与现有技术相比,本发明不光解决了企业局域网环境中终端非法接入的问题,同时在大中型环境中实现移动终端漫游接入控制功能,解决了企业内部移动办公的需求,采用SNMP协议来实现,由于该协议属于通用网络管理标准,可充分利用现有网络架构以及基础设施,降低了系统整体迁移的成本和难度,为企业节约大量基础设施部署成本,相对于802.1x协议而言,也不用额外安装客户端软件,部署及操作较简单。
附图说明
图1为本发明实现终端设备与特定交换机具体端口绑定流程图;
图2为本发明实现终端设备与特定交换机绑定流程图;
图3为本发明实现终端设备与特定安全域交换机绑定流程图。
具体实施方式:
下面结合附图和具体实施方式对本发明进行详细说明。
参见图1-3,本发明的控制方法为首先设置交换机端口与MAC地址的关系,提供终端设备MAC地址接入网络的控制;当终端设备通过网线接入交换机时,终端交换机使用TRAP消息上报控制系统接入MAC的地址,控制系统判断该MAC地址允许从该端口接入时,交换机的该端口被配置为启用状态;当判断该MAC地址为非法接入时,阻断该端口;当非法接入连线被移除后,控制系统通过SNMP协议下发终端交换机该的端口状态为默认状态实现单一MAC地址在特定终端交换机或特定区域内多交换机的接入控制。
上述的控制方法的步骤如下:
步骤一:启用交换机的SNMP模块,交换机配置陷阱主机为终端接入控制系统, 终端接入控制系统配置交换机的SNMP主机信息,设置交换机对应的合法MAC地址;
步骤二:终端设备连接到交换机端口,交换机使用TRAP消息将端口接入信息发送至终端接入控制系统;
步骤三:终端接入控制系统使用SNMP获取当前接入端口学习到动态MAC表,与该端口对应的合法MAC地址信息进行对照匹配,判断当前该端口接入MAC地址是否含有非法终端MAC;
步骤四:当MAC地址相同时回应终端接入正常状态,接口工作正常;当MAC地址不匹配时,发送SNMP-SET命令设置该端口为关闭状态,接入该端口的终端无法使用;
步骤五:当连接到交换机端口上的终端设备发生变化,如插拔网线、更换网卡或终端设备时,重复执行步骤二到步骤五。
实施例1:
主要实现终端与特定交换机具体端口绑定,该方法由终端接入控制系统以及交换机共同来实现端口接入控制,具体方法包括以下步骤:
步骤一:启用交换机的SNMP模块,交换机配置陷阱主机为终端接入控制系统, 终端接入控制系统配置交换机的SNMP主机信息,设置具体端口对应的合法MAC地址;
步骤二:终端设备连接到某交换机端口,交换机使用TRAP消息将端口接入信息发送至终端接入控制系统;
步骤三:终端接入控制系统使用SNMP获取当前接入端口学习到动态MAC表,与该端口对应的合法MAC地址信息进行对照匹配,判断当前该端口接入MAC地址是否含有非法终端MAC;
步骤四:当MAC地址相同时回应终端接入正常状态,接口工作正常;当MAC地址不匹配时,发送SNMP-SET命令设置该端口为关闭状态,接入该端口的终端无法使用;
步骤五:当连接到交换机端口上的终端设备发生变化,重复执行步骤二到步骤五。
实施例2:
主要实现终端与特定交换机进行绑定,该方法由终端接入控制系统以及终端交换机共同来实现端口接入控制,具体方法包括以下步骤:
步骤一:启用交换机的SNMP模块,交换机配置陷阱主机为终端接入控制系统, 终端接入控制系统配置交换机的SNMP主机信息,设置交换机对应的合法MAC地址集合;
步骤二:终端设备连接到某交换机端口,交换机使用TRAP消息将端口接入信息发送至终端接入控制系统;
步骤三:终端接入控制系统使用SNMP获取当前接入端口学习到动态MAC表,与该交换机对应的合法MAC地址信息进行对照匹配,判断当前该端口接入MAC地址是否含有非法终端MAC;
步骤四:当MAC地址相同时回应终端接入正常状态,接口工作正常;当MAC地址不匹配时,发送SNMP-SET命令设置该端口为关闭状态,接入该端口的终端无法使用;
步骤五:当连接到交换机端口上的终端设备发生变化,重复执行步骤二到步骤五。
实施例3:
主要实现终端与特定安全域所有交换机进行绑定,该方法由终端接入控制系统以及交换机共同来实现端口接入控制,具体方法包括以下步骤:
步骤一:启用交换机的SNMP模块,交换机配置陷阱主机为终端接入控制系统, 终端接入控制系统配置交换机的SNMP主机信息,设置交换机对应的整个安全域合法MAC地址集合;
步骤二:终端设备连接到某交换机端口,交换机使用TRAP消息将端口接入信息发送至终端接入控制系统;
步骤三:终端接入控制系统使用SNMP获取当前接入端口学习到动态MAC表,与整个安全域对应的合法MAC地址信息进行对照匹配,判断当前该端口接入MAC地址是否含有非法终端MAC;
步骤四:当MAC地址相同时回应终端接入正常状态,接口工作正常;当MAC地址不匹配时,发送SNMP-SET命令设置该端口为关闭状态,接入该端口的非法终端无法使用;
步骤五:当连接到交换机端口上的终端设备发生变化,重复执行步骤二到步骤五。
Claims (2)
1.一种基于SNMP协议的终端安全接入的控制方法,其特征在于:所述控制方法为首先设置交换机端口与MAC地址的关系,提供终端设备MAC地址接入网络的控制;当终端设备通过网线接入交换机时,终端交换机使用TRAP消息上报控制系统接入MAC的地址,控制系统判断该MAC地址允许从该端口接入时,交换机的该端口被配置为启用状态;当判断该MAC地址为非法接入时,阻断该端口;当非法接入连线被移除后,控制系统通过SNMP协议下发终端交换机该的端口状态为默认状态实现单一MAC地址在特定终端交换机或特定区域内多交换机的接入控制。
2.根据权利要求1所述的基于SNMP协议的终端安全接入的控制方法,其特征在于:所述控制方法的步骤如下:
步骤一:启用交换机的SNMP模块,交换机配置陷阱主机为终端接入控制系统, 终端接入控制系统配置交换机的SNMP主机信息,设置交换机对应的合法MAC地址;
步骤二:终端设备连接到交换机端口,交换机使用TRAP消息将端口接入信息发送至终端接入控制系统;
步骤三:终端接入控制系统使用SNMP获取当前接入端口学习到动态MAC表,与该端口对应的合法MAC地址信息进行对照匹配,判断当前该端口接入MAC地址是否含有非法终端MAC;
步骤四:当MAC地址相同时回应终端接入正常状态,接口工作正常;当MAC地址不匹配时,发送SNMP-SET命令设置该端口为关闭状态,接入该端口的终端无法使用;
步骤五:当连接到交换机端口上的终端设备发生变化,重复执行步骤二到步骤五。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013100007330A CN103078813A (zh) | 2013-01-04 | 2013-01-04 | 基于snmp协议的终端安全接入的控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013100007330A CN103078813A (zh) | 2013-01-04 | 2013-01-04 | 基于snmp协议的终端安全接入的控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103078813A true CN103078813A (zh) | 2013-05-01 |
Family
ID=48155222
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013100007330A Pending CN103078813A (zh) | 2013-01-04 | 2013-01-04 | 基于snmp协议的终端安全接入的控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103078813A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103957171A (zh) * | 2014-05-20 | 2014-07-30 | 刘建兵 | 基于智能交换机物理端口和mac地址的接入控制方法和系统 |
| CN103973678A (zh) * | 2014-04-28 | 2014-08-06 | 刘建兵 | 一种终端计算机的接入管控方法 |
| CN104065531A (zh) * | 2014-06-16 | 2014-09-24 | 国家电网公司 | 交换机端口监控系统 |
| CN105357485A (zh) * | 2015-11-20 | 2016-02-24 | 武汉微创光电股份有限公司 | 一种网络视频监控中网络设备接入认证方法 |
| CN103929376B (zh) * | 2014-04-30 | 2017-06-20 | 尹志超 | 一种基于交换机端口管理的终端准入控制方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6169742B1 (en) * | 1997-02-14 | 2001-01-02 | Advanced Micro Devices, Inc. | Multiport data network switch having direct media access control link to external management |
| CN102118271A (zh) * | 2011-03-29 | 2011-07-06 | 上海北塔软件股份有限公司 | 发现非法接入设备的方法 |
| CN102137109A (zh) * | 2011-03-18 | 2011-07-27 | 华为技术有限公司 | 一种访问控制方法、接入设备及系统 |
-
2013
- 2013-01-04 CN CN2013100007330A patent/CN103078813A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6169742B1 (en) * | 1997-02-14 | 2001-01-02 | Advanced Micro Devices, Inc. | Multiport data network switch having direct media access control link to external management |
| CN102137109A (zh) * | 2011-03-18 | 2011-07-27 | 华为技术有限公司 | 一种访问控制方法、接入设备及系统 |
| CN102118271A (zh) * | 2011-03-29 | 2011-07-06 | 上海北塔软件股份有限公司 | 发现非法接入设备的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 苗舒: "企业内网的终端接入安全管理系统的设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973678A (zh) * | 2014-04-28 | 2014-08-06 | 刘建兵 | 一种终端计算机的接入管控方法 |
| CN103973678B (zh) * | 2014-04-28 | 2017-04-26 | 刘建兵 | 一种终端计算机的接入管控方法 |
| CN103929376B (zh) * | 2014-04-30 | 2017-06-20 | 尹志超 | 一种基于交换机端口管理的终端准入控制方法 |
| CN103957171A (zh) * | 2014-05-20 | 2014-07-30 | 刘建兵 | 基于智能交换机物理端口和mac地址的接入控制方法和系统 |
| CN103957171B (zh) * | 2014-05-20 | 2017-05-31 | 刘建兵 | 基于智能交换机物理端口和mac地址的接入控制方法和系统 |
| CN104065531A (zh) * | 2014-06-16 | 2014-09-24 | 国家电网公司 | 交换机端口监控系统 |
| CN105357485A (zh) * | 2015-11-20 | 2016-02-24 | 武汉微创光电股份有限公司 | 一种网络视频监控中网络设备接入认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104639624B (zh) | 一种实现移动终端远程控制门禁的方法和装置 | |
| CN102340400B (zh) | 通过智能电话管理的智能电话上的独立于持有者和服务者的家长控制的方法和设备 | |
| CN103139058A (zh) | 一种物联网安全接入网关 | |
| CN102404254A (zh) | 多网融合的智能家庭网关装置及系统 | |
| CN103078813A (zh) | 基于snmp协议的终端安全接入的控制方法 | |
| CN102271133B (zh) | 认证方法、装置和系统 | |
| CN202475474U (zh) | 多网融合的智能家庭网关装置及系统 | |
| CN110796220B (zh) | 一种基于公共交通的识别码发码系统 | |
| CN104243618A (zh) | 一种基于客户端行为识别网络共享的方法和系统 | |
| CN105245545A (zh) | 一种基于用户终端的接入授权方法及路由器 | |
| CN108881127A (zh) | 一种控制远程访问权限的方法及系统 | |
| CN103475491B (zh) | 一种无密码安全登录的远程维护系统和实现方法 | |
| CN103825894B (zh) | 一种基于浏览器b/s结构的多屏应用系统的使用方法 | |
| CN103841537A (zh) | 采用家庭网关部署wlan城域网的管控系统及方法 | |
| CN108184091B (zh) | 一种视频监控设备部署方法及装置 | |
| CN210986442U (zh) | 移动警务信息安全系统 | |
| CN102547249A (zh) | 一种基于3g网络的视频监控点对点访问方法 | |
| CN106330580A (zh) | 监控设备控制方法及装置 | |
| CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 | |
| CN203912101U (zh) | 安防广域网嵌入式监测设备 | |
| CN102110218A (zh) | 基于手机信息加密的鉴权方法 | |
| CN112532603B (zh) | 一种基于交换授权文件的跨域文件交换引接设备及方法 | |
| CN103533535B (zh) | 一种远程手机写卡系统及写卡方法 | |
| CN204206214U (zh) | 一种安全访问控制系统 | |
| EP3028430B1 (en) | System allowing access to defined addresse after check with access-list |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130501 |