CN104158767B - 一种网络准入装置及方法 - Google Patents
一种网络准入装置及方法 Download PDFInfo
- Publication number
- CN104158767B CN104158767B CN201410445235.1A CN201410445235A CN104158767B CN 104158767 B CN104158767 B CN 104158767B CN 201410445235 A CN201410445235 A CN 201410445235A CN 104158767 B CN104158767 B CN 104158767B
- Authority
- CN
- China
- Prior art keywords
- mac address
- client computer
- access gateway
- interchanger
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 230000005540 biological transmission Effects 0.000 claims description 21
- 238000004458 analytical method Methods 0.000 claims description 3
- 206010033799 Paralysis Diseases 0.000 abstract description 5
- 231100000572 poisoning Toxicity 0.000 abstract description 4
- 230000000607 poisoning effect Effects 0.000 abstract description 4
- 230000007547 defect Effects 0.000 abstract description 3
- 238000005516 engineering process Methods 0.000 description 10
- 238000013500 data storage Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000013507 mapping Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 238000007405 data analysis Methods 0.000 description 5
- 238000013480 data collection Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 210000000352 storage cell Anatomy 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 210000004027 cell Anatomy 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 239000000872 buffer Substances 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络准入装置及方法,属于数字交换网络领域,应用于网络准入系统,所述准入网关判断所获取的所述客户机的MAC地址是否是授权的MAC地址;若否,则判定获取的所述客户机的MAC地址为非授权的MAC地址,将所述准入网关的MAC地址修改为获取的所述客户机的MAC地址,将修改后的准入网关的MAC地址发送到所述交换机,指令所述交换机将所述准入网关的MAC地址与所述第二端口的对应关系中的所述准入网关的MAC地址更新为获取的所述客户机MAC地址。本发明降低终端主机的客户端软件被木马和病毒入侵的概率、有效避免了认证服务器故障导致网络瘫痪、有效避免了非网管型交换机无法用于网络准入系统的缺陷。
Description
技术领域
本发明涉及数字交换网络领域,具体而言,涉及一种网络准入装置及方法。
背景技术
局域网安全一直是一个世界性的网络安全问题,局域网具有一定的私密性,例如某个企业的公司网络,不希望在未经授权的情况下有人能够接入到网络中,因此诞生了许多局域网准入的相关安全技术。
目前现有的网络准入技术主要包括:一、802.1x认证技术,这种认证技术需要交换机支持802.1x协议且需要在交换机的每个接口进行配置,同时802.1x认证技术还需要对终端主机的客户端进行配置,使所述终端主机的客户端必须支持EAPOL协议,在实际网络布局中,往往根据不同厂家生产的认证系统,使用指定的客户端软件。因此,802.1x认证技术的缺点为:1.客户端需要安装特殊软件,易被病毒或木马入侵,2.非网管型交换机无法应用802.1x认证技术,3.需要认证服务器对账户信息验证,若认证服务器故障,则整个网络认证系统都瘫痪;二、基于桌面管理系统的网络准入技术,是基于企业电脑桌面端的内网安全管理软件系统,此技术具有以下缺点:需要在每一台计算机安装客户端软件,此客户端软件易被植入木马或病毒,威胁网络及电脑安全,且操作繁琐,维护不便;三、交换机MAC地址认证,此技术的原理是用户联网时将MAC地址作为用户名和密码发送给交换机进行验证,如果是合法地址则允许通过,否则拒绝访问,此技术具有以下缺点:1.如果认证服务器故障,则整个网络无法正常工作,2.此技术中的交换机必须要支持MAC地址认证,因此,非网管型交换机无法部署此认证技术;四、其他的网络认证技术,例如WEB认证、DHCP认证和PPPOE认证,此类认证技术只能解决用户端是否有权访问互联网或者其他网段的问题,无法解决在同一个局域网内主机互相访问或者不同网段的局域网互相访问的准入问题,此类准入技术无法跨越VLAN。
发明内容
本发明的目的在于提供一种基于MAC地址表干扰的无客户端网络准入系统,避免安装特殊的客户端软件、降低终端主机的客户端软件被木马和病毒入侵的概率、有效避免了认证服务器故障导致网络瘫痪、有效避免了非网管型交换机无法用于网络准入系统的缺陷。
第一方面,本发明提供的一种网络准入方法,应用于网络准入系统,所述网络准入系统包括交换机,准入网关和客户机,所述客户机通过所述交换机的第一端口与所述交换机连接,所述准入网关通过所述交换机的第二端口与所述交换机连接,所述准入网关存储有预设的授权客户机的MAC地址,所述交换机存储有所述准入网关的MAC地址与所述第二端口的对应关系,所述方法包括:
所述准入网关从所述交换机获取所述客户机发送的地址解析协议数据包,所述地址解析协议数据包中包括所述客户机的MAC地址;
所述准入网关将获取的所述数据包中的客户机的MAC地址与所述预设的授权客户机的MAC地址进行比对,判断获取的所述客户机的MAC地址是否是授权的MAC地址;
若否,则判定获取的所述客户机的MAC地址为非授权的MAC地址,将所述准入网关的MAC地址修改为获取的所述客户机的MAC地址,将修改后的准入网关的MAC地址发送到所述交换机,指令所述交换机将所述准入网关的MAC地址与所述第二端口的对应关系中的所述准入网关的MAC地址更新为获取的所述客户机MAC地址。
采用本发明提供的一种网络准入方法具有如下技术效果:每一台客户机的MAC地址对应一个交换机连接端口,MAC地址与交换机端口编号的映射关系构成MAC地址表,不管是可网管交换机还是非网管交换机都具备所述MAC地址表,若所述MAC地址表发生错误,则所述MAC地址表与所述交换机端口编号的映射关系就不成立,则该MAC地址的客户机就无法访问所述交换机,即无法与其他客户机通信。因此,所述非授权MAC地址通过与之连接的交换机端口实现与所述虚拟局域网的非法访问,修改所述非授权MAC地址对应的连接端口,则所述非授权MAC地址指向所述准入网关与所述交换机的连接端口,即第二端口,则所述非授权MAC地址就断开了与所述交换机的连接。因此,本发明实施例直接操作MAC地址,即使不同协议的网络设备也可以通过本发明实施例的方法实现网络准入,提高了设备的兼容性。因此,不管是可网管型交换机还是非网管型交换机都具备所述MAC地址表,因此有效避免了非网管型交换机无法用于网络准入系统;另外,与现有技术相比,本发明实施例无需配置认证客户端,降低终端主机的客户端软件被木马和病毒入侵的概率;再者,通过对所述非授权MAC地址与所述非授权MAC地址对应的连接端口的映射关系的修改断开所述非授权MAC地址与所述虚拟局域网之间的访问,而不采用现有技术的认证服务器,有效避免了认证服务器故障导致网络瘫痪,与现有技术相比,本发明实施例对于客户机的MAC地址是否授权的判断是由所述准入网关判定的,所述准入网关可以是一台带有运算处理功能的处理器,因此即使所述准入网关故障,仅仅是无法阻止非授权的客户机访问网络,而对网络运行不造成影响。另外,本发明实施例可以将所述交换机通过路由器连接到互联网,所述准入网关将所述修改后的准入网关MAC地址通过广播的形式通过所述交换机和所述路由器发送到所述互联网,因此能够拒绝各网段的虚拟局域网内的任何一台非授权客户机的访问。
进一步,所述交换机为非网管型交换机。
进一步,还包括所述准入网关设定定时时间和发送频率,所述发送频率高于所述客户机的地址解析协议数据包的发送频率;所述准入网关将所述准入网关的MAC地址修改为所述客户机的MAC地址之后,在所述定时时间内,所述准入网关持续将所述修改后的准入网关的MAC地址以所述发送频率发送到所述交换机,直至所述定时时间结束。
进一步,所述获取所述地址解析协议数据包中所述客户机的MAC地址之后,该方法还包括,将所述准入网关获取的所述客户机的MAC地址和所述准入网关存储的预设的授权客户机的MAC地址进行显示。
进一步,所述系统还包括终端,所述终端与所述准入网关相连,所述判断所述客户机的MAC地址是否是授权的MAC地址之后,该方法还包括将判断结果和所述客户机的MAC地址发送到所述终端。
第二方面,本发明实施例提供一种网络准入装置,应用于网络准入系统,所述网络准入系统包括交换机,准入网关和客户机,所述客户机通过所述交换机的第一端口与所述交换机连接,所述准入网关通过所述交换机的第二端口与所述交换机连接,所述准入网关存储有预设的授权客户机的MAC地址,所述交换机存储有所述准入网关的MAC地址与所述第二端口的对应关系,所述装置包括:
设置在所述准入网关内的判断单元、采集单元、第一执行单元和第二执行单元,
所述采集单元,用于从所述交换机获取所述客户机发送的地址解析协议数据包,所述地址解析协议数据包中包括所述客户机的MAC地址;
所述判断单元,用于将获取的所述数据包中的客户机的MAC地址与所述预设的授权客户机的MAC地址进行比对,判断获取的所述客户机的MAC地址是否是授权的MAC地址;
所述第一执行单元,用于所述判断单元判断获取的所述客户机的MAC地址是非授权的MAC地址后,将所述准入网关的MAC地址修改为获取的所述客户机的MAC地址;
所述第二执行单元,用于将修改后的准入网关的MAC地址发送到所述交换机,指令所述交换机将所述准入网关的MAC地址与所述第二端口的对应关系中的所述准入网关的MAC地址更新为获取的所述客户机MAC地址。
进一步,所述交换机为非网管型交换机。
进一步,所述准入网关还包括:
定时单元,用于设定定时时间;
频率单元,用于设定发送频率,所述发送频率高于所述客户机的地址解析协议数据包的发送频率;
所述第一执行单元执行将所述准入网关的MAC地址修改为所述客户机的MAC地址之后,在所述定时时间内,所述准入网关持续将所述修改后的准入网关的MAC地址以所述发送频率发送到所述交换机,直至所述定时单元的定时时间结束。
进一步,所述准入网关还包括:显示单元,用于在所述采集单元获取所述地址解析协议数据包中所述客户机的MAC地址之后,将所述采集单元获取的所述客户机的MAC地址和所述准入网关存储的预设的授权客户机的MAC地址进行显示。
进一步,所述准入网关还包括:该装置还包括终端,所述准入网关还包括发送单元,所述发送单元用于在所述判断单元判断所述客户机的MAC地址是否是授权的MAC地址之后,将判断结果和所述客户机的MAC地址发送到所述终端。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明实施例而了解。本发明实施例的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得
附图说明
图1示出了本发明实施例一种网络准入系统的实施例一的结构示意图;
图2示出了由图1所示一种网络准入系统执行的用于网络准入方法的方法流程图;
图3示出了本发明实施例一种网络准入系统的实施例二的结构示意图;
图4示出了由图3所示一种网络准入系统执行的用于网络准入方法的方法流程图。
具体实施方式
下面通过具体的实施例子并结合附图对本发明做进一步的详细描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例一种网络准入系统的实施例一,包括:网络核心交换机100、准入网关101、出口路由器102、互联网103、A客户机104、B客户机105和C客户机106,所述网络核心交换机100用于为VLAN(Virtual Local Area Network,虚拟局域网)内的所述A客户机104、所述B客户机105和所述C客户机106互相访问提供连接端口,所述出口路由器102用于使网络核心交换机100连接到所述互联网103,使所述网络核心交换机100连接互联网103上各网段的VLAN,所述准入网关101与所述网络核心交换机100的端口连接,所述准入网关101用于获得所述网络核心交换机100内的数据包,并从所述数据包内截取非授权MAC地址,修改非授权MAC地址的连接端口,使非授权MAC地址的客户机无法通过所述网络核心交换机100与其他客户机通信。
图2是由图1所示一种网络准入系统执行的用于网络准入方法的方法流程图。
由于图2是由图1所执行的一种方法,因此不单独对图1所述的实施例的具体实施方式介绍,下面将结合图1和图2阐述本发明实施例一的具体实施方式:
如图2所示,第一步S10,连接所有网段的虚拟局域网;
将所述A客户机104、所述B客户机105和所述C客户机106均与与所述网络核心交换机100的各个端口连接,例如所述A客户机104与所述网络核心交换机100的1号端口连接,所述B客户机105与所述网络核心交换机100的2号端口连接,所述C客户机106与所述网络核心交换机100的3号端口连接,因此由所述A客户机104、所述B客户机105和所述C客户机106构成的同网段内VLAN通过所述网络核心交换机100连接,再将所述网络核心交换机100的4号端口通过所述出口路由器102连接至所述互联网103,因此所述网络核心交换机100通过所述出口路由器102连接所有网段VLAN,将所述网络核心交换机100的trunk端口与所述准入网关101连接,因此所述准入网关101通过所述出口路由器102和所述网络核心交换机100连接所有网段的虚拟局域网。当然,也可以通过其他方式连接所有网段VLAN,例如将上述trunk端口改为Access端口或者Hybrid端口,显然这些连接所有网段的虚拟局域网在本领域普通技术人员不通过创造性劳动都可以获得,因此均属于本发明保护范围。
第二步S11,获取来自虚拟局域网的地址解析协议(Address ResolutionProtocol,ARP)数据包内的MAC地址;
所有客户机在访问VLAN的时候都要先发送一个ARP数据包,以获得目的客户机的MAC地址,所述ARP数据包内包括源MAC地址、源IP地址和目的客户机的IP地址。并且,所述ARP数据包是通过广播的形式发到所有与所述网络核心交换机100的端口连接的除自身之外的所有客户机内。所述准入网关101通过所述网络核心交换机100的trunk端口获取来自VLAN的ARP数据包,在所述准入网关101内的Linux系统内设有数据采集分析工具tcpdump,通过所述数据采集分析工具tcpdump截取所述ARP数据包内的MAC地址。在所述处理器107中选择一个开源的Linux系统,当然也可以选择FreeBSD系统,在所述Linux系统中包括数据采集分析工具tcpdump,所述数据采集分析工具tcpdump能够监控所述网络内的所有ARP数据包,因此通过tcpdump获取所述网络核心交换机100内的ARP数据包。也可以通过应用程序来访问数据链路层的方式获得所述ARP数据包,例如Unix系统里的Libpcap函数库,所述Libpcap函数库是一个提供了针对网络数据包捕获系统的高层接口的开源函数库。其作用是提供独立于平台的应用程序接口,以消除程序中针对不同操作系统所包含的数据包捕获代码模块。这样以来,就解决了程序移植性的问题,有利于提高开发的效率。Libpcap的抓包机制就是在数据链路层加一个旁路处理器,当一个数据包到达网络接口时,Libpcap首先利用已经创建的Socket从链路层驱动程序中获得该数据包的拷贝,再通过Tap函数将数据包发给BPF过滤器,BPF过滤器根据用户定义好的过滤规则对数据包进行逐一匹配,匹配成功则放入内核缓冲区,并传递给用户缓冲区,以备后续处理,若匹配不成功在直接丢弃。如果是windows系统下可以用WinPcap工具实现数据包捕获。因此通过上述的数据采集分析工具tcpdump、Libpcap工具和WinPcap工具均可以捕获数据包,再通过相应程序指令获得数据包内的MAC地址。当然本领域技术人员在未付出创造性劳动的前提下获得的其他捕获数据包内的MAC地址的方式均属于本发明的保护范围,在此不再赘述。
第三步S12,获取所述MAC地址中的非授权MAC地址;
在所述准入网关101有存储数据的功能模块,所述准入网关101内设有两个数据存储库,第一数据库存储预设的授权MAC地址,命名为白名单,另一个数据库存储有预设的非授权MAC地址,命名为黑名单。将所接受的MAC地址与预设的MAC地址逐个字节比对,若所接收的数据包内的MAC地址与所述预设的非授权MAC地址相同,则认为所接收的MAC地址为非授权MAC地址;也可以先判定所述接收MAC地址所属于的网段,根据该网段判断所述所接受的MAC地址为授权MAC地址还是非授权MAC地址,例如若所述非授权MAC地址的最后四位位于0-100之间,则认为所接受MAC地址为非授权MAC地址,本领域普通技术人员在没有做出创造性劳动前提下所获得的其他判断所接收地址是否为非授权地址的所有实施例,都属于本发明保护的范围。另外,若所接收的MAC地址与所述黑名单和所述白名单的地址均不相同,则认为所接收的MAC地址为非授权MAC地址。再者,将所接收的MAC地址中非授权MAC地址存储到黑名单中,其余的MAC地址存储到白名单中,更新所述白名单和黑名单的内容,以备下一次比对。
第四步S13,断开所述非授权MAC地址与虚拟局域网之间的访问;
每一个设备的MAC地址对应一个连接端口,因此MAC地址与其连接端口的映射关系构成一个MAC地址表,所述的MAC地址表储存在所述网络核心交换机100内,不论是网管型交换机和非网管型交换机都有所述MAC地址表,设备通过所述MAC地址表找到访问数据的入口和接收数据的出口,若此MAC地址表发生错误,则设备与其连接端口的映射关系就不成立,就无法实现设备与端口的连接。例如,根据第三步s12找到A客户机的MAC地址为非授权MAC地址,假设A客户机的MAC地址为0001-0001-0001-0001,则MAC地址0001-0001-0001-0001对应的连接端口为所述网络核心交换机100的1号端口,若所述准入网关101的MAC地址为0005-0005-0005-0005,所对应的地址为所述网络核心交换机100的trunk端口,所述准入网关检测到所述A客户机的MAC地址为非授权MAC地址时,所述准入网关101自动学习设定一个干扰MAC地址,所述干扰MAC地址为将自己的MAC地址改为所述A客户机的MAC地址,然后再打包成数据包,所述数据包内的源MAC地址为0001-0001-0001-0001,目的MAC地址为FFFF-FFFF-FFFF-FFFF,并发送给所述网络核心交换机100,即此时所述准入网关101的MAC地址为0001-0001-0001-0001,使0001-0001-0001-0001的MAC地址的连接端口变为所述网络核心交换机100的trunk端口,则此时在MAC地址表中,MAC地址0001-0001-0001-0001与所述网络核心交换机100的1号端口的连接关系不成立,则所述A客户机断开了与所述网络核心交换机100的连接,无法与VLAN内的其他客户机通信。另外,所有发往所述A客户机的数据,要先进入所述网络核心交换机100,所述网络核心交换机100根据数据的目的MAC地址找到与所述目的MAC地址对应的连接端口,所述准入网关101的干扰使A客户机的MAC地址对应的连接端口由端口1变为trunk端口,因此所有发往所述A客户机的数据都通过所述网络核心交换机100的trunk端口发往所述准入网关101,使所述A客户机在整个网络中完全被孤立,既无法发送数据也无法接收数据。本实施例中,所述准入网关101将所述干扰MAC地址打包以广播的形式发送到所有网络中,因此所述准入网关101能够对所有网段的虚拟局域的客户机实现网络准入管理。
因此,本发明实施例提供的一种网络准入装置及方法,通过对非授权MAC地址的干扰,使MAC地址表中的非授权MAC地址与连接端口的映射关系发生错误,断开非授权MAC地址与VLAN的通信,与现有技术相比,不需要安装特殊客户端软件,非网管型交换机和网管型交换机都能应用本发明实施例的网络准入方法,也不需要安装网络认证服务器,有效避免了安装的客户端软件被木马和病毒入侵,影响系统安全,有效解决了非网管型交换机无法用于网络准入系统的缺陷,有效避免了认证服务器故障导致网络瘫痪的状况发生;另外,所述准入网关101通过所述网络核心交换机100和所述出口路由器102的连接,使所述准入网关101能够监控所有网段VLAN的数据访问,有效避免了现有的网络准入技术无法跨越VLAN的缺陷。
如图3所示的一种网络准入系统实施例二,与图1所述的一种网络准入系统实施例一相比还包括:处理器107、人机界面109、数据存储单元108和定时装置110,所述处理器107通过其内部的运算单元处理所述准入网关101接收的数据,也能够向所述准入网关101发送数据,所述人机界面109将所述准入网关101的信息显示,例如将所述准入网关101接收的MAC地址或者其他相关信息,所述人机界面109还可以向所述准入网关101输入数据;所述数据存储单元108存储预设的授权MAC地址和非授权MAC地址用于所述准入网关101读取,也可以存储所述准入网关101输入的数据;所述定时装置110用于向所述准入网关101发送一段定时时间,便于持续干扰非授权MAC地址的访问。
图4是由图3所示一种网络准入系统执行的用于网络准入方法的方法流程图。
由于图4是由图3所执行的一种方法,因此不单独对图3所述的实施例的具体实施方式介绍,下面将结合图3和图4阐述本发明实施例二的具体实施方式:
如图4所示,第一步S20,配置VLAN网络;
图4中所示的本发明实施例二的步骤S20配置VLAN网络与图2所示的本发明实施例一的步骤S10连接所有网段的虚拟局域网相同,因此在本发明实施例二中不再描述。
第二步S21,获取VLAN的ARP数据包;
图4中所示的本发明实施例二的步骤S21获取VLAN的ARP数据包与图2所示的本发明实施例一的步骤S11获取来自虚拟局域网的ARP数据包内的MAC地址的采集数据方式相同,因此在本发明实施例二中不再描述。
第三步S22,截取ARP数据包内的MAC地址;
采用图2中所示的S11步骤,即所述获取来自虚拟局域网的ARP数据包内的MAC地址中的数据采集分析工具tcpdump、Libpcap函数库或WinPcap中的任一工具截取ARP数据包内的MAC地址,另外本发明实施例二通过本发明实施例一的步骤S11除了能够获得所接收ARP数据包的MAC地址外,还可以获得所接收ARP数据包的所述MAC地址所对应的相关厂家信息及源IP地址。将所接收ARP数据包的MAC地址、IP地址和相关厂家信息存储到所述数据存储单元108内。
第四步S23,判断MAC地址是否授权;
图2中所示S12的所述的有存储数据的功能模块采用图3所示的所述数据存储单元108,即所述白名单和所述黑名单存储在所述数据存储单元108内,所述处理器107读取所述数据存储单元108内存储的所接收数据包的MAC地址,再按照图2中所示S12步骤判定所接收ARP数据包的MAC地址是否授权;另外,除了采用图2中所述的S12步骤的实施方式之外,还可以通过所述S22步骤获得的IP地址或者厂家信息判断所述的MAC地址是否为授权MAC地址,具体实施方式为在所述准入网关101定义一端允许访问的客户机的IP地址,假设是192.168.1.96到192.168.1.201之间,若所接收的MAC地址的IP地址为192.168.1.88,则认为所接收的MAC地址的客户机处于非授权访问的IP网段内,则将所接收的MAC地址判定为非授权MAC地址。同理根据所接收MAC地址的设备的生产厂家可以判定是否为本公司内的设备,进而判定所接收MAC地址是否为授权MAC地址。另外,图3所述的一种网络准入系统中还包括所述处理器107和所述人机界面109,所述准入网关101接收的MAC地址、IP地址、生产厂家以及其他信息经过所述处理器107处理后经所述人机界面109显示,所述人机界面109将接收数据包内的MAC地址、IP地址、生产厂家、所述白名单及所述黑名单分类显示,网络管理工作者通过所述人机界面109直观判断所接收MAC地址是否授权,另外通过所述人机界面109便于手动添加MAC地址到所述黑名单或所述白名单内。
若所接收的MAC地址是非授权MAC地址,则进行第五步S24;
若所接收的MAC地址是授权MAC地址,则返回到步骤S21,重新获取VLAN的ARP数据包,并重新判定所述ARP数据包内的MAC地址是否为授权MAC地址。
第五步S24,设置干扰MAC地址;
按照所述图2所示的S13步骤设置用于断开所述非授权MAC地址与所述网络核心交换机100的端口的连接的干扰MAC地址;
第六步S25,设定定时时间和发送频率;
通过图3所示的定时装置110,设定一个时间,在所述定时时间内,持续修改所述非授权MAC地址的连接端口,使所述非授权MAC地址在所述定时时间内持续断开与所述虚拟局域网的连接,避免所述非授权MAC地址与所述虚拟局域网的访问被断开后,非法访问的客户机再次将ARP数据包发送到所述网络核心交换机100内,而修复所述MAC地址表,使所述MAC地址表内,所述非授权MAC地址的映射端口为所述非法访问的客户机与所述网络核心交换机100的端口,从而所述非法访问的客户机能够访问所述虚拟局域网。另外,所述定时装置110还能够设定一个发送频率,所述发送频率高于所述非法访问的客户机的ARP数据包的频率,使所述干扰MAC地址以所述发送频率广播到整个网络中,非法访问的客户机在如此高的速率下很难通过修改MAC地址的方式修复MAC地址表而访问网络。
第七步S26,发送所述干扰MAC地址,断开非授权MAC地址的连接;
通过所述步骤S24设置干扰MAC地址后,将所述干扰MAC地址以步骤S25中设定的所述定时时间和所述发送频率发送给所述网络核心交换机100,若此时A客户机为非授权访问的客户机,则所述干扰MAC地址使所述A客户机的MAC地址的对应端口变为所述网络核心交换机100与所述准入网关101的连接端口,所有发往A客户机的数据都将发送给所述准入网关101,则A客户机在整个网络中被孤立,无法与任何主机通信。
执行所述S26步骤之后,返回到所述S21步骤,再次获取VLAN数据包,然后再次对非授权MAC地址干扰。
另外,所述准入网关101将一段时间内的授权MAC地址名单和非授权MAC地址名单按照邮件或者信息的形式通过所述网络核心交换机100发送给网络管理工作者,便于网络管理工作者了解网络准入情况。
需要说明的是,在本文中,注入第一和第二之类的关系术语仅仅用来表示一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个、、、、、、”限定的要素,并不排除在包括所有要素的过程、方法、物品或者设备中还存在另外的相同要素。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。软件类发明可有这段话,否则删除。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络准入方法,其特征在于,应用于网络准入系统,所述网络准入系统包括交换机,准入网关和客户机,所述客户机通过所述交换机的第一端口与所述交换机连接,所述准入网关通过所述交换机的第二端口与所述交换机连接,所述准入网关存储有预设的授权客户机的MAC地址,所述交换机存储有所述准入网关的MAC地址与所述第二端口的对应关系,所述方法包括:
所述准入网关从所述交换机获取所述客户机发送的地址解析协议数据包,所述地址解析协议数据包中包括所述客户机的MAC地址;
所述准入网关将获取的所述数据包中的客户机的MAC地址与所述预设的授权客户机的MAC地址进行比对,判断获取的所述客户机的MAC地址是否是授权的MAC地址;
若否,则判定获取的所述客户机的MAC地址为非授权的MAC地址,将所述准入网关的MAC地址修改为获取的所述客户机的MAC地址,在定时时间内,将修改后的准入网关的MAC地址以发送频率发送到所述交换机,指令所述交换机将所述准入网关的MAC地址与所述第二端口的对应关系中的所述准入网关的MAC地址更新为获取的所述客户机MAC地址,直至所述定时时间结束,其中,所述发送频率高于所述客户机的地址解析协议数据包的发送频率。
2.如权利要求1所述的方法,其特征在于,所述交换机为非网管型交换机。
3.如权利要求1-2的任一所述的方法,其特征在于,将修改后的准入网关的MAC地址以发送频率发送到所述交换机之前,还包括:
所述准入网关设定所述定时时间和所述发送频率。
4.如权利要求1-2的任一所述的方法,其特征在于,所述获取所述地址解析协议数据包中所述客户机的MAC地址之后,该方法还包括,将所述准入网关获取的所述客户机的MAC地址和所述准入网关存储的预设的授权客户机的MAC地址进行显示。
5.如权利要求1-2的任一所述的方法,其特征在于,所述网络准入系统还包括终端,所述终端与所述准入网关相连,所述判断所述客户机的MAC地址是否是授权的MAC地址之后,该方法还包括将判断结果和所述客户机的MAC地址发送到所述终端。
6.一种网络准入装置,其特征在于,应用于网络准入系统,所述网络准入系统包括交换机,准入网关和客户机,所述客户机通过所述交换机的第一端口与所述交换机连接,所述准入网关通过所述交换机的第二端口与所述交换机连接,所述准入网关存储有预设的授权客户机的MAC地址,所述交换机存储有所述准入网关的MAC地址与所述第二端口的对应关系,所述装置包括:
设置在所述准入网关内的判断单元、采集单元、第一执行单元和第二执行单元,
所述采集单元,用于从所述交换机获取所述客户机发送的地址解析协议数据包,所述地址解析协议数据包中包括所述客户机的MAC地址;
所述判断单元,用于将获取的所述数据包中的客户机的MAC地址与所述预设的授权客户机的MAC地址进行比对,判断获取的所述客户机的MAC地址是否是授权的MAC地址;
所述第一执行单元,用于所述判断单元判断获取的所述客户机的MAC地址是非授权的MAC地址后,将所述准入网关的MAC地址修改为获取的所述客户机的MAC地址;
所述第二执行单元,用于在定时时间内,将修改后的准入网关的MAC地址以发送频率发送到所述交换机,指令所述交换机将所述准入网关的MAC地址与所述第二端口的对应关系中的所述准入网关的MAC地址更新为获取的所述客户机MAC地址,直至所述定时时间结束,其中,所述发送频率高于所述客户机的地址解析协议数据包的发送频率。
7.如权利要求6所述的装置,其特征在于,所述交换机为非网管型交换机。
8.如权利要求6-7的任一所述的装置,其特征在于,所述准入网关还包括:
定时单元,用于设定定时时间;
频率单元,用于设定发送频率。
9.如权利要求6-7的任一所述的装置,其特征在于,所述准入网关还包括:
显示单元,用于在所述采集单元获取所述地址解析协议数据包中所述客户机的MAC地址之后,将所述采集单元获取的所述客户机的MAC地址和所述准入网关存储的预设的授权客户机的MAC地址进行显示。
10.如权利要求6-7的任一所述的装置,其特征在于,该装置还包括终端,所述准入网关还包括发送单元,所述发送单元用于在所述判断单元判断所述客户机的MAC地址是否是授权的MAC地址之后,将判断结果和所述客户机的MAC地址发送到所述终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410445235.1A CN104158767B (zh) | 2014-09-03 | 2014-09-03 | 一种网络准入装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410445235.1A CN104158767B (zh) | 2014-09-03 | 2014-09-03 | 一种网络准入装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104158767A CN104158767A (zh) | 2014-11-19 |
| CN104158767B true CN104158767B (zh) | 2017-07-18 |
Family
ID=51884175
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410445235.1A Active CN104158767B (zh) | 2014-09-03 | 2014-09-03 | 一种网络准入装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104158767B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105554177A (zh) * | 2015-12-30 | 2016-05-04 | 合一网络技术(北京)有限公司 | 一种操作系统安装方法及装置 |
| CN105681353B (zh) * | 2016-03-22 | 2019-06-11 | 浙江宇视科技有限公司 | 防御端口扫描入侵的方法及装置 |
| CN107769948A (zh) * | 2016-08-19 | 2018-03-06 | 华为技术有限公司 | 一种网络配置方法及接入交换机 |
| CN106789728A (zh) * | 2017-01-25 | 2017-05-31 | 甘肃农业大学 | 一种基于NetFPGA的VoIP流量实时识别方法 |
| CN106686003B (zh) * | 2017-02-28 | 2019-05-24 | 浙江远望信息股份有限公司 | 旁路部署的网络准入控制系统及方法 |
| CN107241313B (zh) * | 2017-05-18 | 2020-07-07 | 杭州迪普科技股份有限公司 | 一种防mac泛洪攻击的方法及装置 |
| CN108156092B (zh) * | 2017-12-05 | 2021-07-23 | 杭州迪普科技股份有限公司 | 报文传输控制方法和装置 |
| CN109361695B (zh) * | 2018-11-28 | 2021-11-19 | 深圳市万网博通科技有限公司 | 对网络接入的授权方法、装置、计算机设备和存储介质 |
| CN111010354B (zh) * | 2019-12-13 | 2022-03-08 | 苏州浪潮智能科技有限公司 | 一种光模块准入判别方法、装置、主干网交换机及介质 |
| CN112822149B (zh) * | 2020-08-17 | 2022-07-12 | 北京辰信领创信息技术有限公司 | 一种基于智能路由器物理口和mac及ip的终端准入管控设计 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296240A (zh) * | 2008-06-20 | 2008-10-29 | 中国移动通信集团北京有限公司 | 一种接入无线网络的认证方法及系统 |
| CN103957171A (zh) * | 2014-05-20 | 2014-07-30 | 刘建兵 | 基于智能交换机物理端口和mac地址的接入控制方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103560996B (zh) * | 2013-10-09 | 2017-01-25 | 北京奇安信科技有限公司 | 访问权限控制的方法及装置 |
-
2014
- 2014-09-03 CN CN201410445235.1A patent/CN104158767B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296240A (zh) * | 2008-06-20 | 2008-10-29 | 中国移动通信集团北京有限公司 | 一种接入无线网络的认证方法及系统 |
| CN103957171A (zh) * | 2014-05-20 | 2014-07-30 | 刘建兵 | 基于智能交换机物理端口和mac地址的接入控制方法和系统 |
Non-Patent Citations (2)
| Title |
|---|
| 《县级供电企业网络准入控制方案的设计与实现》;车艳艳,陈杰;《广西电力》;20160630;全文 * |
| 企业网网络准入控制及终端安全防护研究;钱扬;《中国优秀硕士论文》;20121201;正文第25页至28页第9行 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104158767A (zh) | 2014-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104158767B (zh) | 一种网络准入装置及方法 | |
| US11595396B2 (en) | Enhanced smart process control switch port lockdown | |
| US20060164199A1 (en) | Network appliance for securely quarantining a node on a network | |
| CN105791047B (zh) | 一种安全视频专网网络管理系统的控制方法 | |
| US20140075505A1 (en) | System and method for routing selected network traffic to a remote network security device in a network environment | |
| CN105847300B (zh) | 企业网络边界设备拓扑结构的可视化方法及装置 | |
| US20060095961A1 (en) | Auto-triage of potentially vulnerable network machines | |
| CN103428211B (zh) | 基于交换机的网络认证系统及其认证方法 | |
| US8102860B2 (en) | System and method of changing a network designation in response to data received from a device | |
| CN101888329B (zh) | 地址解析协议报文的处理方法、装置及接入设备 | |
| US20060153192A1 (en) | Network host isolation tool | |
| US20120054358A1 (en) | Network Relay Device and Frame Relaying Control Method | |
| JPH11205388A (ja) | パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体 | |
| EP2790354A1 (en) | Security management system having multiple relay servers, and security management method | |
| US20210176125A1 (en) | Programmable switching device for network infrastructures | |
| JP4713186B2 (ja) | ネットワーク監視方法及びネットワーク監視システム | |
| CN108881127A (zh) | 一种控制远程访问权限的方法及系统 | |
| CN106209799A (zh) | 一种实现动态网络防护的方法、系统及动态防火墙 | |
| CN102035703A (zh) | 一种家庭无线网络及其实现方法 | |
| CN101227477A (zh) | 一种用户终端接入认证的实现方法 | |
| Goni | Implementation of Local Area Network (lan) And Build A Secure Lan System For Atomic Energy Research Establishment (AERE) | |
| CN101599834B (zh) | 一种认证部署方法和一种管理设备 | |
| CN111343193B (zh) | 云网络端口安全防护方法、装置、电子设备及存储介质 | |
| Deng | Linux network security technology | |
| Zhang | Research and application of next-generation firewall technique in medical network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170823 Address after: 410000 Hunan province Changsha City Lugu high tech Development Zone, Road No. 627 new Changhai center building B-1 N workshop Lugu unit Room 608 Patentee after: Changsha reputation information technology Co., Ltd. Address before: 421001 35 households, 401 village, Shigu District, Hunan, Hengyang Patentee before: Lv Shujian |