CN105245473A - 基于交换机双重绑定的局域网终端准入控制方法 - Google Patents
基于交换机双重绑定的局域网终端准入控制方法 Download PDFInfo
- Publication number
- CN105245473A CN105245473A CN201510557738.2A CN201510557738A CN105245473A CN 105245473 A CN105245473 A CN 105245473A CN 201510557738 A CN201510557738 A CN 201510557738A CN 105245473 A CN105245473 A CN 105245473A
- Authority
- CN
- China
- Prior art keywords
- address
- terminal equipment
- binding
- access
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种基于交换机双重绑定的局域网终端准入控制方法,自动扫描地址资源段中动态ARP地址信息和动态MAC地址信息,自动扫描地址资源段中所有对应的Vlan网络地址,将已经分配给终端设备的Vlan信息、终端设备的MAC地址和终端设备实际的IP地址在核心交换机上执行ARP绑定。并将接入层交换机的接入端口、终端设备的MAC地址进行端口绑定。本发明相比现有技术具有以下优点:本发明的一种基于交换机双重绑定的局域网终端准入控制方法通过第三方终端监测工具,建立地址资源台账库,利用ARP绑定和端口绑定双重绑定控制实现终端的准入控制,隔离异常终端设备,防止没有在系统中注册登记和绑定的设备接入。
Description
技术领域
本发明涉及一种局域网终端准入控制方法,尤其涉及的是一种基于交换机双重绑定的局域网终端准入控制方法。
背景技术
随着电力信息网络规模的不断扩大,信息网络地址资源池规模及信息终端数量也不断增大。受限于有限的运行维护人员,终端的安全准入控制的高效、准确执行成为电力信息网络运维及信息安全工作中的重点。
网络准入控制技术通常包括:802.1x准入控制、DHCP准入控制、网关型准入控制、ARP型准入控制、portal型准入,其中以IEEE802.1x技术应用较多。IEEE802.1X是在利用LAN交换机和无线LAN接入点之前对用户进行认证的技术。普通LAN交换机将缆线连接到端口上即可使用LAN。不过,支持802.1X的LAN交换机连接缆线后也不能直接使用LAN。只有在对连接的个人电脑进行认证、确认是合法用户以后才能使用LAN。通过认证,LAN交换机就可以通过或者屏蔽用户发送过来的信息。无线LAN接入点也基本上采用这一工作原理。802.1x作为准入控制业界标准具有一定的灵活性和安全性,但由于对网络设备的标准性和规范性要求较高,无法较好的适应设备类型多、不完全支持802.1x的电力信息网络。
传统电力信息系统中,终端准入控制主要依赖运维人员人工维护终端及地址资源台账;并通过第三方审计工具发现异常终端,再开展处理措施。这种现有的控制方式中,地址资源及终端准入管理工作手段较为原始,存在有无法事先发现非法接入终端、不能对网络中存在安全风险的终端设备进行及时的隔离等操作问题,给电力信息网络安全带来安全隐患。
发明内容
本发明的目的在于克服现有技术的不足,基于网络地址、终端设备、交换机台账库,提供了一种基于交换机双重绑定的局域网终端准入控制方法,从全局角度对网络资源及安全准入行为进行集中管理,统一实施安全策略,提高网络终端的主动抵抗能力。
本发明是通过以下技术方案实现的:基于交换机双重绑定的局域网终端准入控制方法,包括如下步骤:
(1)、自动获取当前网络中的IP地址段信息、终端设备的MAC地址和Vlan信息;
(2)、自动获取当前网络中的核心交换机和接入层交换机;
(3)、动态扫描当前网络中的核心交换机和接入层交换机,并以Vlan信息为关键字段,确定Vlan信息对应的核心交换机集合和接入层交换机集合;
(4)自动扫描当前网络中,获取以Vlan信息为关键字段对应的所有的IP地址信息;
(5)判断当前网络中Vlan信息对应的IP地址信息是否与当前网络中已经在用的终端的设备的IP地址一一对应;
(6)若当前网络中Vlan信息对应的IP地址信息与当前网络中已经在用的终端设备的IP地址一一对应,将Vlan信息、当前网络中已经在用的终端设备的IP地址与实际的MAC地址在核心交换机上执行ARP绑定;
(7)若当前网络中Vlan信息对应的IP地址信息与当前网络中已经在用的终端设备的IP地址不一一对应,将Vlan信息、IP地址段与虚拟的MAC地址在核心交换机上执行ARP绑定;
(8)经过步骤(6)处理ARP绑定,确定实际的MAC地址的终端设备在接入层交换机的接入端口,并将接入层交换机的接入端口和实际MAC地址进行端口绑定。
作为上述方案的进一步优化,还包括建立网络地址、终端设备、交换机台账库。
与已有技术相比,本发明的一种基于交换机双重绑定的局域网终端准入控制方法的有益效果体现在:
本发明公开了一种基于交换机双重绑定的局域网终端准入控制方法,建立网络地址和物理终端的对应关系,且建立物理地址和终端与交换机端口的对应关系。在核心交换机上建立网络地址和物理终端的ARP绑定,在接入层交换机上建立接入层交换机端口与物理终端的地MAC地址绑定,通过双重对应绑定,隔离异常终端设备,防止没有在系统中注册登记和绑定的设备接入。
附图说明
图1是本发明一种基于交换机双重绑定的局域网终端准入控制方法的流程图。
具体实施方式
下面将综合附图对本发明进行详细说明,对本发明实施例中的技术方案进行清楚、完善的描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于交换机双重绑定的局域网终端准入控制方法,首先建立网络地址、终端设备、交换机台账库,参见图1,图1是本发明一种基于交换机双重绑定的局域网终端准入控制方法的流程图,具体包括如下步骤:
(1)、自动获取当前网络中的IP地址段信息、终端设备的MAC地址和Vlan信息;
(2)、自动获取当前网络中的核心交换机和接入层交换机;
(3)、动态扫描当前网络中的核心交换机和接入层交换机,并以Vlan信息为关键字段,确定Vlan信息对应的核心交换机集合和接入层交换机集合;
(4)自动扫描当前网络中,获取以Vlan信息为关键字段对应的所有的IP地址信息;
(5)判断当前网络中Vlan信息对应的IP地址信息是否与当前网络中已经在用的终端的设备的IP地址一一对应;
(6)若当前网络中Vlan信息对应的IP地址信息与当前网络中已经在用的终端设备的IP地址一一对应,将Vlan信息、当前网络中已经在用的终端设备的IP地址与实际的MAC地址在核心交换机上执行ARP绑定;
其中,在核心交换机自动执行ARP绑定操作,ARP绑定命令:arpstatic[IPAddress][Macaddress][VlanId]。其中,[IPAddress]、[Macaddress]、[VlanId]信息分别为终端设备实际的IP地址、终端设备实际的Mac地址和实际的Vlan,对终端设备进行了ARP绑定之后,则在当前网络中对应的终端设备只能使用绑定的IP地址,否则将不能通信。
(7)若当前网络中Vlan信息对应的IP地址段信息与当前网络中已经在用的终端设备的IP地址不一一对应,将Vlan信息、IP地址段与虚拟的MAC地址在核心交换机上执行ARP绑定;
若为空闲地址,在核心交换机上执行ARP绑定操作,ARP绑定命令如下:arpstatic[IPAddress][Macaddress][VlanId],其中[IPAddress]、[Macaddress]、[VlanId]信息分别为终端设备实际的IP地址、虚拟的Mac地址(1000-0000-0001)和实际Vlan。从而实现对当前网络中的地址资源中所有的网络地址的管理。在对当前网络中没有注册绑定的终端设备在网络中不能通信即阻止未知终端设备接入。
(8)经过步骤(6)处理ARP绑定,确定实际的MAC地址的终端设备在接入层交换机的接入端口,并将接入层交换机的接入端口和实际MAC地址进行端口绑定。
对应终端设备在接入层交换机的接入端口,记为需要绑定的端口,在接入层交换机执行端口、Mac地址绑定,绑定命令:macaddressstatic[MacAddress]interface[Interface]。其中,[MacAddress]、[Intefacer]对应分别为实际的需要绑定的Mac地址和实际的端口。通过控制所有的终端设备接入交换机的端口,更改端口即不能再网络中通信,同时也阻止了未知终端设备接入网络中进行通信。
通过上述的基于交换机双重绑定的局域网终端准入控制方法,通过双重对应绑定,对当前网络中所有已规划地址资源的IP地址都进行ARP绑定,包括已分配的终端设备、保护的终端设备和空闲的IP地址,对于分配的终端设备ARP绑定真实的信息,对保护的终端设备不进行操作,对于空闲的地址信息ARP绑定虚拟的信息,通过采用ARP绑定了虚拟的Mac地址形成了ARP欺骗阻止未知终端设备在网络进行通信。此外,通过在接入层交换机上建立接入层交换机端口与物理终端的地MAC地址绑定,控制所有的终端设备接入交换机的端口,更改端口即不能在网络中通信,同时通过端口绑定在接入层交换机阻止了未知终端设备接入网络中进行通信。
对经过本发明的基于交换机双重绑定的局域网终端准入控制方法设置的系统,绑定工作完成后,定期对系统进行维护,若实时发现有非安全终端设备进入系统,实时隔离。采用本发明的方法准入控制方法对非安全终端设备进行隔离的隔离方法包括如下步骤:
(S1)实时获取非安全终端设备接入对应的终端设备的IP地址或Mac地址;
(S2)根据建立的网络地址资源及设备台账确定终端设备的信息,根据终端设备的IP地址或Mac地址查询出该终端设备对应的接入的二层交换机、接入的二层交换机端口、设备所属VLAN及VLAN对应的核心交换机集合;
(S3)、自动撤销接入的第二层交换机端口与该终端设备的Mac地址绑定;
(S4)自动在核心交换机上将步骤(13)的处理的解除端口绑定的终端设备的Mac地址绑定的IP解除绑定,并将该IP与一个虚拟MAC地址绑定。
本发明的一种基于交换机双重绑定的局域网终端准入控制方法在内置第三方审计软件的系统中应用,对非安全终端设备的接入,从网络中加以隔离,具体步骤如下:
定义:非安全终端设备:外接INTERNET网络、接入非保密存储设备或使用复杂程度较弱的登录口令的终端设备。
步骤(1)、定期从第三方审计软件中获取非安全终端设备的详细信息,非安全终端设备主要包括内置未安装杀毒软件、探头版本过低、未安装补丁、系统弱口令或设备未注册的终端设备,确定非安全终端设备的详细信息,包括设备IP地址、Mac地址。本优选实施中,第三方审计软件包括北信源桌面管控软件和趋势防病毒软件。
步骤(2)、对于非安全终端设备,利用建立的网络地址资源及设备台账确定设备信息,根据终端设备的IP地址或Mac地址查询出该终端设备使用信息。
其中,使用信息包括设备的网络地址、Mac地址、接入的二层交换机、接入的二层交换机端口、设备所属VLAN及VLAN对应的核心交换机集合。
步骤(3)、在终端设备接入的第二层交换上执行关闭端口操作后,根据下发的指令登陆交换机,进入接口模式,执行shutdown命令来关闭接入层交换机的端口阻止终端设备通信,同时在核心交换机上自动执行ARP绑定操作。
其中,ARP命令:arpstatic[IPAddress][Macaddress][VlanId]。其中,[IPAddress][Macaddress][VlanId]信息对应分别为实际绑定的IP地址、虚拟的Mac地址(1000-0000-0001)、实际绑定的Vlan。核心交换机对该终端设备进行了假的Mac地址绑定,利用ARP欺骗原理阻止非安全终端设备进行通信,对非安全终端设备进行了隔离。
通过上述步骤(1)-(3)后,对非安全终端设备进行隔离,采用关闭二层交换机的端口阻止终端设备在网络中进行通信,同时在核心交换机上用ARP绑定假的Mac地址,形成了Arp欺骗阻止终端设备在网络中通信,这样形成双重屏障,有效地阻止设备通信,隔离设备接入网络。通过建立网络地址、终端设备及交换机台账,形成终端安全准入基础数据,再针对非法接入终端设备及非安全终端设备两类终端接入行为,综合利用ARP绑定和MAC端口绑定操作实现终端接入行为控制。
本发明的一种基于交换机双重绑定的局域网终端准入控制方法,优选实施例中,步骤6和步骤7中,在核心交换机上执行ARP绑定操作,是利用SNMP操作完成的,其具体步骤如下:
步骤(1)、自动获取核心交换机的IP、SNMP读串和写串;
步骤(2)、利用snmpwalk工具,结合读串获取核心交换机的ARP表,按行对ARP表进行解析,判断待要绑定的ARP信息是否已存在,如果存在,则不执行操作,否则继续下列步骤;
步骤(3)、根据待绑定的ARP信息,利用SNMPwalk工具结合核心交换机写串生成交换机ARP表增加操作,然后执行;
步骤(4)、执行完成后,利用snmpwalk工具结合读串获取交换机的ARP表,按行对ARP表进行解析,判断待要绑定的ARP信息是否已存在,如果存在,则不再绑定完成,否则绑定失败。
本发明的一种基于交换机双重绑定的局域网终端准入控制方法通过第三方终端监测工具,建立地址资源台账库,利用ARP绑定和端口绑定双重绑定控制实现终端的准入控制,隔离异常终端设备,防止没有在系统中注册登记和绑定的设备接入。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现和使用本发明。对这些实施例的多种修改对本专业的技术人员来说是显而易见的。本文所定义的一般原理可以在不脱离本发明的精神和范围的情况下,在其他实施例中实现。因此,本发明将不会限制在本文所示的这些实施例,而是要符合与本文公开的原理和特点相一致的最宽的范围。
Claims (2)
1.基于交换机双重绑定的局域网终端准入控制方法,其特征在于:包括如下步骤:
(1)、自动获取当前网络中的IP地址段信息、终端设备的MAC地址和Vlan信息;
(2)、自动获取当前网络中的核心交换机和接入层交换机;
(3)、动态扫描当前网络中的核心交换机和接入层交换机,并以Vlan信息为关键字段,确定Vlan信息对应的核心交换机集合和接入层交换机集合;
(4)自动扫描当前网络中,获取以Vlan信息为关键字段对应的所有的IP地址信息;
(5)判断当前网络中Vlan信息对应的IP地址信息是否与当前网络中已经在用的终端的设备的IP地址一一对应;
(6)若当前网络中Vlan信息对应的IP地址信息与当前网络中已经在用的终端设备的IP地址一一对应,将Vlan信息、当前网络中已经在用的终端设备的IP地址与实际的MAC地址在核心交换机上执行ARP绑定;
(7)若当前网络中Vlan信息对应的IP地址信息与当前网络中已经在用的终端设备的IP地址不一一对应,将Vlan信息、IP地址段与虚拟的MAC地址在核心交换机上执行ARP绑定;
(8)经过步骤(6)处理ARP绑定,确定实际的MAC地址的终端设备在接入层交换机的接入端口,并将接入层交换机的接入端口和实际MAC地址进行端口绑定。
2.根据权利要求1所述的基于交换机双重绑定的局域网终端准入控制方法,其特征在于:还包括建立网络地址、终端设备、交换机台账库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510557738.2A CN105245473B (zh) | 2015-09-02 | 2015-09-02 | 基于交换机双重绑定的局域网终端准入控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510557738.2A CN105245473B (zh) | 2015-09-02 | 2015-09-02 | 基于交换机双重绑定的局域网终端准入控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105245473A true CN105245473A (zh) | 2016-01-13 |
CN105245473B CN105245473B (zh) | 2018-09-07 |
Family
ID=55042978
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510557738.2A Active CN105245473B (zh) | 2015-09-02 | 2015-09-02 | 基于交换机双重绑定的局域网终端准入控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105245473B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109378900A (zh) * | 2018-11-15 | 2019-02-22 | 云南电网有限责任公司昆明供电局 | 智能变电站交换设备在线及投退的检测控制方法 |
CN109561103A (zh) * | 2018-12-26 | 2019-04-02 | 北京城强科技有限公司 | 一种针对集线器的内网边界管控方法 |
CN109617972A (zh) * | 2018-12-17 | 2019-04-12 | 新华三技术有限公司 | 一种连接建立方法、装置、电子设备及存储介质 |
CN112019653A (zh) * | 2020-09-09 | 2020-12-01 | 迈普通信技术股份有限公司 | 接入交换机、ip地址部署方法、装置及可读存储介质 |
CN112822149A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 一种基于智能路由器物理口和mac及ip的终端准入管控设计 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1874223A (zh) * | 2006-06-27 | 2006-12-06 | 天津移动通信有限责任公司 | 实现网络设备mac/ip绑定的接入控制系统及方法 |
US20090213860A1 (en) * | 2006-12-27 | 2009-08-27 | Huawei Technologies Co., Ltd. | Method and device for service binding |
CN102118271A (zh) * | 2011-03-29 | 2011-07-06 | 上海北塔软件股份有限公司 | 发现非法接入设备的方法 |
CN102255918A (zh) * | 2011-08-22 | 2011-11-23 | 神州数码网络(北京)有限公司 | 一种基于DHCP Option 82的用户接入权限控制方法 |
CN102316101A (zh) * | 2011-08-09 | 2012-01-11 | 神州数码网络(北京)有限公司 | 一种基于dhcp snooping的安全接入方法 |
CN104363228A (zh) * | 2014-11-13 | 2015-02-18 | 国家电网公司 | 一种终端安全准入控制方法 |
-
2015
- 2015-09-02 CN CN201510557738.2A patent/CN105245473B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1874223A (zh) * | 2006-06-27 | 2006-12-06 | 天津移动通信有限责任公司 | 实现网络设备mac/ip绑定的接入控制系统及方法 |
US20090213860A1 (en) * | 2006-12-27 | 2009-08-27 | Huawei Technologies Co., Ltd. | Method and device for service binding |
CN102118271A (zh) * | 2011-03-29 | 2011-07-06 | 上海北塔软件股份有限公司 | 发现非法接入设备的方法 |
CN102316101A (zh) * | 2011-08-09 | 2012-01-11 | 神州数码网络(北京)有限公司 | 一种基于dhcp snooping的安全接入方法 |
CN102255918A (zh) * | 2011-08-22 | 2011-11-23 | 神州数码网络(北京)有限公司 | 一种基于DHCP Option 82的用户接入权限控制方法 |
CN104363228A (zh) * | 2014-11-13 | 2015-02-18 | 国家电网公司 | 一种终端安全准入控制方法 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109378900A (zh) * | 2018-11-15 | 2019-02-22 | 云南电网有限责任公司昆明供电局 | 智能变电站交换设备在线及投退的检测控制方法 |
CN109617972A (zh) * | 2018-12-17 | 2019-04-12 | 新华三技术有限公司 | 一种连接建立方法、装置、电子设备及存储介质 |
CN109561103A (zh) * | 2018-12-26 | 2019-04-02 | 北京城强科技有限公司 | 一种针对集线器的内网边界管控方法 |
CN109561103B (zh) * | 2018-12-26 | 2021-09-21 | 北京城强科技有限公司 | 一种针对集线器的内网边界管控方法 |
CN112822149A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 一种基于智能路由器物理口和mac及ip的终端准入管控设计 |
CN112822149B (zh) * | 2020-08-17 | 2022-07-12 | 北京辰信领创信息技术有限公司 | 一种基于智能路由器物理口和mac及ip的终端准入管控设计 |
CN112019653A (zh) * | 2020-09-09 | 2020-12-01 | 迈普通信技术股份有限公司 | 接入交换机、ip地址部署方法、装置及可读存储介质 |
CN112019653B (zh) * | 2020-09-09 | 2022-08-12 | 迈普通信技术股份有限公司 | 接入交换机、ip地址部署方法、装置及可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN105245473B (zh) | 2018-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105245473A (zh) | 基于交换机双重绑定的局域网终端准入控制方法 | |
CN102722667B (zh) | 基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法 | |
CN103179130B (zh) | 一种信息系统内网安全统一管理平台及管理方法 | |
CN104158767B (zh) | 一种网络准入装置及方法 | |
JP5411916B2 (ja) | 保護継電器とこれを備えるネットワークシステム | |
US20130042124A1 (en) | Energy management device and power management system | |
CN103516547B (zh) | 一种网络参数分配方法及装置 | |
CN103929376A (zh) | 一种基于交换机端口管理的终端准入控制方法 | |
CN103780430A (zh) | 监控网络设备的方法和装置 | |
CN107566359A (zh) | 一种智能防火墙系统及防护方法 | |
CN105490931A (zh) | 基于fpga的多功能物联网网关设备 | |
CN113612783B (zh) | 一种蜜罐防护系统 | |
CN107104950B (zh) | 一种智能家居中数据采集、分析加密方法及系统 | |
CN109995639A (zh) | 一种数据传输方法、装置、交换机及存储介质 | |
CN110356939A (zh) | 一种多通道蓝牙电梯控制系统和方法 | |
CN104504790A (zh) | 一种无线门禁控制系统 | |
CN105281957B (zh) | 一种在物联网中接入设备的方法及服务器 | |
CN104363228A (zh) | 一种终端安全准入控制方法 | |
CN108833362B (zh) | 一种设备接入权限控制方法、装置及系统 | |
CN208939584U (zh) | 一种新型智能配电网终端安全接入系统 | |
CN110278185A (zh) | 一种网络安全隔离与数据交换电力网络应用系统 | |
CN107396362A (zh) | 一种用于对用户设备进行无线连接预授权的方法与设备 | |
US10277713B2 (en) | Role-based access to shared resources | |
CN109639658A (zh) | 用于电力二次系统运维的防火墙的数据传输方法及装置 | |
CN104753851A (zh) | 一种访问网络的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |