CN105245473B - 基于交换机双重绑定的局域网终端准入控制方法 - Google Patents

基于交换机双重绑定的局域网终端准入控制方法 Download PDF

Info

Publication number
CN105245473B
CN105245473B CN201510557738.2A CN201510557738A CN105245473B CN 105245473 B CN105245473 B CN 105245473B CN 201510557738 A CN201510557738 A CN 201510557738A CN 105245473 B CN105245473 B CN 105245473B
Authority
CN
China
Prior art keywords
address
terminal device
access
information
current network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510557738.2A
Other languages
English (en)
Other versions
CN105245473A (zh
Inventor
刘年国
何兵兵
唐旭明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Huainan Power Supply Co of State Grid Anhui Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Huainan Power Supply Co of State Grid Anhui Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Huainan Power Supply Co of State Grid Anhui Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201510557738.2A priority Critical patent/CN105245473B/zh
Publication of CN105245473A publication Critical patent/CN105245473A/zh
Application granted granted Critical
Publication of CN105245473B publication Critical patent/CN105245473B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种基于交换机双重绑定的局域网终端准入控制方法,自动扫描地址资源段中动态ARP地址信息和动态MAC地址信息,自动扫描地址资源段中所有对应的Vlan网络地址,将已经分配给终端设备的Vlan信息、终端设备的MAC地址和终端设备实际的IP地址在核心交换机上执行ARP绑定。并将接入层交换机的接入端口、终端设备的MAC地址进行端口绑定。本发明相比现有技术具有以下优点:本发明的一种基于交换机双重绑定的局域网终端准入控制方法通过第三方终端监测工具,建立地址资源台账库,利用ARP绑定和端口绑定双重绑定控制实现终端的准入控制,隔离异常终端设备,防止没有在系统中注册登记和绑定的设备接入。

Description

基于交换机双重绑定的局域网终端准入控制方法
技术领域
本发明涉及一种局域网终端准入控制方法,尤其涉及的是一种基于交换机双重绑定的局域网终端准入控制方法。
背景技术
随着电力信息网络规模的不断扩大,信息网络地址资源池规模及信息终端数量也不断增大。受限于有限的运行维护人员,终端的安全准入控制的高效、准确执行成为电力信息网络运维及信息安全工作中的重点。
网络准入控制技术通常包括:802.1x准入控制、DHCP准入控制、网关型准入控制、ARP型准入控制、portal型准入,其中以IEEE802.1x技术应用较多。IEEE802.1X是在利用LAN交换机和无线LAN接入点之前对用户进行认证的技术。普通LAN交换机将缆线连接到端口上即可使用LAN。不过,支持802.1X的LAN交换机连接缆线后也不能直接使用LAN。只有在对连接的个人电脑进行认证、确认是合法用户以后才能使用LAN。通过认证,LAN交换机就可以通过或者屏蔽用户发送过来的信息。无线LAN接入点也基本上采用这一工作原理。802.1x作为准入控制业界标准具有一定的灵活性和安全性,但由于对网络设备的标准性和规范性要求较高,无法较好的适应设备类型多、不完全支持802.1x的电力信息网络。
传统电力信息系统中,终端准入控制主要依赖运维人员人工维护终端及地址资源台账;并通过第三方审计工具发现异常终端,再开展处理措施。这种现有的控制方式中,地址资源及终端准入管理工作手段较为原始,存在有无法事先发现非法接入终端、不能对网络中存在安全风险的终端设备进行及时的隔离等操作问题,给电力信息网络安全带来安全隐患。
发明内容
本发明的目的在于克服现有技术的不足,基于网络地址、终端设备、交换机台账库,提供了一种基于交换机双重绑定的局域网终端准入控制方法,从全局角度对网络资源及安全准入行为进行集中管理,统一实施安全策略,提高网络终端的主动抵抗能力。
本发明是通过以下技术方案实现的:基于交换机双重绑定的局域网终端准入控制方法,包括如下步骤:
(1)、自动获取当前网络中的IP地址段信息、终端设备的MAC地址和Vlan信息;
(2)、自动获取当前网络中的核心交换机和接入层交换机;
(3)、动态扫描当前网络中的核心交换机和接入层交换机,并以Vlan信息为关键字段,确定Vlan信息对应的核心交换机集合和接入层交换机集合;
(4)自动扫描当前网络中,获取以Vlan信息为关键字段对应的所有的IP地址信息;
(5)判断当前网络中Vlan信息对应的IP地址信息是否与当前网络中已经在用的终端的设备的IP地址一一对应;
(6)若当前网络中Vlan信息对应的IP地址信息与当前网络中已经在用的终端设备的IP地址一一对应,将Vlan信息、当前网络中已经在用的终端设备的IP地址与实际的MAC地址在核心交换机上执行ARP绑定;
(7)若当前网络中Vlan信息对应的IP地址信息与当前网络中已经在用的终端设备的IP地址不一一对应,将Vlan信息、IP地址段与虚拟的MAC地址在核心交换机上执行ARP绑定;
(8)经过步骤(6)处理ARP绑定,确定实际的MAC地址的终端设备在接入层交换机的接入端口,并将接入层交换机的接入端口和实际MAC地址进行端口绑定。
作为上述方案的进一步优化,还包括建立网络地址、终端设备、交换机台账库。
与已有技术相比,本发明的一种基于交换机双重绑定的局域网终端准入控制方法的有益效果体现在:
本发明公开了一种基于交换机双重绑定的局域网终端准入控制方法,建立网络地址和物理终端的对应关系,且建立物理地址和终端与交换机端口的对应关系。在核心交换机上建立网络地址和物理终端的ARP绑定,在接入层交换机上建立接入层交换机端口与物理终端的地MAC地址绑定,通过双重对应绑定,隔离异常终端设备,防止没有在系统中注册登记和绑定的设备接入。
附图说明
图1是本发明一种基于交换机双重绑定的局域网终端准入控制方法的流程图。
具体实施方式
下面将综合附图对本发明进行详细说明,对本发明实施例中的技术方案进行清楚、完善的描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于交换机双重绑定的局域网终端准入控制方法,首先建立网络地址、终端设备、交换机台账库,参见图1,图1是本发明一种基于交换机双重绑定的局域网终端准入控制方法的流程图,具体包括如下步骤:
(1)、自动获取当前网络中的IP地址段信息、终端设备的MAC地址和Vlan信息;
(2)、自动获取当前网络中的核心交换机和接入层交换机;
(3)、动态扫描当前网络中的核心交换机和接入层交换机,并以Vlan信息为关键字段,确定Vlan信息对应的核心交换机集合和接入层交换机集合;
(4)自动扫描当前网络中,获取以Vlan信息为关键字段对应的所有的IP地址信息;
(5)判断当前网络中Vlan信息对应的IP地址信息是否与当前网络中已经在用的终端的设备的IP地址一一对应;
(6)若当前网络中Vlan信息对应的IP地址信息与当前网络中已经在用的终端设备的IP地址一一对应,将Vlan信息、当前网络中已经在用的终端设备的IP地址与实际的MAC地址在核心交换机上执行ARP绑定;
其中,在核心交换机自动执行ARP绑定操作,ARP绑定命令:arp static[IPAddress][Macaddress][VlanId]。其中,[IPAddress]、[Macaddress]、[VlanId]信息分别为终端设备实际的IP地址、终端设备实际的Mac地址和实际的Vlan,对终端设备进行了ARP绑定之后,则在当前网络中对应的终端设备只能使用绑定的IP地址,否则将不能通信。
(7)若当前网络中Vlan信息对应的IP地址段信息与当前网络中已经在用的终端设备的IP地址不一一对应,将Vlan信息、IP地址段与虚拟的MAC地址在核心交换机上执行ARP绑定;
若为空闲地址,在核心交换机上执行ARP绑定操作,ARP绑定命令如下:arp static[IPAddress][Macaddress][VlanId],其中[IPAddress]、[Macaddress]、[VlanId]信息分别为终端设备实际的IP地址、虚拟的Mac地址(1000-0000-0001)和实际Vlan。从而实现对当前网络中的地址资源中所有的网络地址的管理。在对当前网络中没有注册绑定的终端设备在网络中不能通信即阻止未知终端设备接入。
(8)经过步骤(6)处理ARP绑定,确定实际的MAC地址的终端设备在接入层交换机的接入端口,并将接入层交换机的接入端口和实际MAC地址进行端口绑定。
对应终端设备在接入层交换机的接入端口,记为需要绑定的端口,在接入层交换机执行端口、Mac地址绑定,绑定命令:macaddress static[MacAddress]interface[Interface]。其中,[MacAddress]、[Intefacer]对应分别为实际的需要绑定的Mac地址和实际的端口。通过控制所有的终端设备接入交换机的端口,更改端口即不能再网络中通信,同时也阻止了未知终端设备接入网络中进行通信。
通过上述的基于交换机双重绑定的局域网终端准入控制方法,通过双重对应绑定,对当前网络中所有已规划地址资源的IP地址都进行ARP绑定,包括已分配的终端设备、保护的终端设备和空闲的IP地址,对于分配的终端设备ARP绑定真实的信息,对保护的终端设备不进行操作,对于空闲的地址信息ARP绑定虚拟的信息,通过采用ARP绑定了虚拟的Mac地址形成了ARP欺骗阻止未知终端设备在网络进行通信。此外,通过在接入层交换机上建立接入层交换机端口与物理终端的地MAC地址绑定,控制所有的终端设备接入交换机的端口,更改端口即不能在网络中通信,同时通过端口绑定在接入层交换机阻止了未知终端设备接入网络中进行通信。
对经过本发明的基于交换机双重绑定的局域网终端准入控制方法设置的系统,绑定工作完成后,定期对系统进行维护,若实时发现有非安全终端设备进入系统,实时隔离。采用本发明的方法准入控制方法对非安全终端设备进行隔离的隔离方法包括如下步骤:
(S1)实时获取非安全终端设备接入对应的终端设备的IP地址或Mac地址;
(S2)根据建立的网络地址资源及设备台账确定终端设备的信息,根据终端设备的IP地址或Mac地址查询出该终端设备对应的接入的二层交换机、接入的二层交换机端口、设备所属VLAN及VLAN对应的核心交换机集合;
(S3)、自动撤销接入的第二层交换机端口与该终端设备的Mac地址绑定;
(S4)自动在核心交换机上将步骤(13)的处理的解除端口绑定的终端设备的Mac地址绑定的IP解除绑定,并将该IP与一个虚拟MAC地址绑定。
本发明的一种基于交换机双重绑定的局域网终端准入控制方法在内置第三方审计软件的系统中应用,对非安全终端设备的接入,从网络中加以隔离,具体步骤如下:
定义:非安全终端设备:外接INTERNET网络、接入非保密存储设备或使用复杂程度较弱的登录口令的终端设备。
步骤(1)、定期从第三方审计软件中获取非安全终端设备的详细信息,非安全终端设备主要包括内置未安装杀毒软件、探头版本过低、未安装补丁、系统弱口令或设备未注册的终端设备,确定非安全终端设备的详细信息,包括设备IP地址、Mac地址。本优选实施中,第三方审计软件包括北信源桌面管控软件和趋势防病毒软件。
步骤(2)、对于非安全终端设备,利用建立的网络地址资源及设备台账确定设备信息,根据终端设备的IP地址或Mac地址查询出该终端设备使用信息。
其中,使用信息包括设备的网络地址、Mac地址、接入的二层交换机、接入的二层交换机端口、设备所属VLAN及VLAN对应的核心交换机集合。
步骤(3)、在终端设备接入的第二层交换上执行关闭端口操作后,根据下发的指令登陆交换机,进入接口模式,执行shutdown命令来关闭接入层交换机的端口阻止终端设备通信,同时在核心交换机上自动执行ARP绑定操作。
其中,ARP命令:arp static[IPAddress][Macaddress][VlanId]。其中,[IPAddress][Macaddress][VlanId]信息对应分别为实际绑定的IP地址、虚拟的Mac地址(1000-0000-0001)、实际绑定的Vlan。核心交换机对该终端设备进行了假的Mac地址绑定,利用ARP欺骗原理阻止非安全终端设备进行通信,对非安全终端设备进行了隔离。
通过上述步骤(1)-(3)后,对非安全终端设备进行隔离,采用关闭二层交换机的端口阻止终端设备在网络中进行通信,同时在核心交换机上用ARP绑定假的Mac地址,形成了Arp欺骗阻止终端设备在网络中通信,这样形成双重屏障,有效地阻止设备通信,隔离设备接入网络。通过建立网络地址、终端设备及交换机台账,形成终端安全准入基础数据,再针对非法接入终端设备及非安全终端设备两类终端接入行为,综合利用ARP绑定和MAC端口绑定操作实现终端接入行为控制。
本发明的一种基于交换机双重绑定的局域网终端准入控制方法,优选实施例中,步骤6和步骤7中,在核心交换机上执行ARP绑定操作,是利用SNMP操作完成的,其具体步骤如下:
步骤(1)、自动获取核心交换机的IP、SNMP读串和写串;
步骤(2)、利用snmpwalk工具,结合读串获取核心交换机的ARP表,按行对ARP表进行解析,判断待要绑定的ARP信息是否已存在,如果存在,则不执行操作,否则继续下列步骤;
步骤(3)、根据待绑定的ARP信息,利用SNMPwalk工具结合核心交换机写串生成交换机ARP表增加操作,然后执行;
步骤(4)、执行完成后,利用snmpwalk工具结合读串获取交换机的ARP表,按行对ARP表进行解析,判断待要绑定的ARP信息是否已存在,如果存在,则不再绑定完成,否则绑定失败。
本发明的一种基于交换机双重绑定的局域网终端准入控制方法通过第三方终端监测工具,建立地址资源台账库,利用ARP绑定和端口绑定双重绑定控制实现终端的准入控制,隔离异常终端设备,防止没有在系统中注册登记和绑定的设备接入。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现和使用本发明。对这些实施例的多种修改对本专业的技术人员来说是显而易见的。本文所定义的一般原理可以在不脱离本发明的精神和范围的情况下,在其他实施例中实现。因此,本发明将不会限制在本文所示的这些实施例,而是要符合与本文公开的原理和特点相一致的最宽的范围。

Claims (2)

1.基于交换机双重绑定的局域网终端准入控制方法,其特征在于:包括如下步骤:
步骤1、自动获取当前网络中的IP地址段信息、终端设备的MAC地址和Vlan信息;
步骤2、自动获取当前网络中的核心交换机和接入层交换机;
步骤3、动态扫描当前网络中的核心交换机和接入层交换机,并以Vlan信息为关键字段,确定Vlan信息对应的核心交换机集合和接入层交换机集合;
步骤4、自动扫描当前网络中,获取以Vlan信息为关键字段对应的所有的IP地址信息;
步骤5、判断当前网络中Vlan信息对应的IP地址信息是否与当前网络中已经在用的终端的设备的IP地址一一对应;
步骤6、若当前网络中Vlan信息对应的IP地址信息与当前网络中已经在用的终端设备的IP地址一一对应,将Vlan信息、当前网络中已经在用的终端设备的IP地址与实际的MAC地址在核心交换机上执行ARP绑定;
步骤7、若当前网络中Vlan信息对应的IP地址信息与当前网络中已经在用的终端设备的IP地址不一一对应,将Vlan信息、IP地址段与虚拟的MAC地址在核心交换机上执行ARP绑定;
步骤8、经过步骤6处理ARP绑定,确定实际的MAC地址的终端设备在接入层交换机的接入端口,并将接入层交换机的接入端口和实际MAC地址进行端口绑定。
2.根据权利要求1所述的基于交换机双重绑定的局域网终端准入控制方法,其特征在于:还包括建立网络地址、终端设备、交换机台账库。
CN201510557738.2A 2015-09-02 2015-09-02 基于交换机双重绑定的局域网终端准入控制方法 Active CN105245473B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510557738.2A CN105245473B (zh) 2015-09-02 2015-09-02 基于交换机双重绑定的局域网终端准入控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510557738.2A CN105245473B (zh) 2015-09-02 2015-09-02 基于交换机双重绑定的局域网终端准入控制方法

Publications (2)

Publication Number Publication Date
CN105245473A CN105245473A (zh) 2016-01-13
CN105245473B true CN105245473B (zh) 2018-09-07

Family

ID=55042978

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510557738.2A Active CN105245473B (zh) 2015-09-02 2015-09-02 基于交换机双重绑定的局域网终端准入控制方法

Country Status (1)

Country Link
CN (1) CN105245473B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109378900A (zh) * 2018-11-15 2019-02-22 云南电网有限责任公司昆明供电局 智能变电站交换设备在线及投退的检测控制方法
CN109617972B (zh) * 2018-12-17 2021-11-26 新华三技术有限公司 一种连接建立方法、装置、电子设备及存储介质
CN109561103B (zh) * 2018-12-26 2021-09-21 北京城强科技有限公司 一种针对集线器的内网边界管控方法
CN112822149B (zh) * 2020-08-17 2022-07-12 北京辰信领创信息技术有限公司 一种基于智能路由器物理口和mac及ip的终端准入管控设计
CN112019653B (zh) * 2020-09-09 2022-08-12 迈普通信技术股份有限公司 接入交换机、ip地址部署方法、装置及可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1874223A (zh) * 2006-06-27 2006-12-06 天津移动通信有限责任公司 实现网络设备mac/ip绑定的接入控制系统及方法
CN102118271A (zh) * 2011-03-29 2011-07-06 上海北塔软件股份有限公司 发现非法接入设备的方法
CN102255918A (zh) * 2011-08-22 2011-11-23 神州数码网络(北京)有限公司 一种基于DHCP Option 82的用户接入权限控制方法
CN102316101A (zh) * 2011-08-09 2012-01-11 神州数码网络(北京)有限公司 一种基于dhcp snooping的安全接入方法
CN104363228A (zh) * 2014-11-13 2015-02-18 国家电网公司 一种终端安全准入控制方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101009627A (zh) * 2006-12-27 2007-08-01 华为技术有限公司 一种业务绑定的方法和设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1874223A (zh) * 2006-06-27 2006-12-06 天津移动通信有限责任公司 实现网络设备mac/ip绑定的接入控制系统及方法
CN102118271A (zh) * 2011-03-29 2011-07-06 上海北塔软件股份有限公司 发现非法接入设备的方法
CN102316101A (zh) * 2011-08-09 2012-01-11 神州数码网络(北京)有限公司 一种基于dhcp snooping的安全接入方法
CN102255918A (zh) * 2011-08-22 2011-11-23 神州数码网络(北京)有限公司 一种基于DHCP Option 82的用户接入权限控制方法
CN104363228A (zh) * 2014-11-13 2015-02-18 国家电网公司 一种终端安全准入控制方法

Also Published As

Publication number Publication date
CN105245473A (zh) 2016-01-13

Similar Documents

Publication Publication Date Title
CN105245473B (zh) 基于交换机双重绑定的局域网终端准入控制方法
TWI389525B (zh) 具有多網段存取性的資料傳輸系統及其方法
JP5701715B2 (ja) エネルギー管理装置、電力管理システムおよびプログラム
JP6619894B2 (ja) アクセス制御
US20150229641A1 (en) Migration of a security policy of a virtual machine
CN104158767B (zh) 一种网络准入装置及方法
CN105071945B (zh) 一种基于交换机技术的网络终端地址批量绑定方法
CN102255918A (zh) 一种基于DHCP Option 82的用户接入权限控制方法
CN104469762A (zh) 一种3g/wifi无线路由器用户分级控制方法
CN102075904A (zh) 一种防止漫游用户再次认证的方法和装置
CN103368809A (zh) 一种互联网反向穿透隧道的实现方法
CN103957580A (zh) 一种用于智能硬件的wifi快速组网配对方法及模块
CN107040480A (zh) 一种机房网络自动切换的方法
CN103067531B (zh) 一种公网ip地址资源管理分配方法
CN105281957B (zh) 一种在物联网中接入设备的方法及服务器
CN103152360A (zh) 一种基于无线路由器的访客访问网络的方法
CN105827648B (zh) 基于ip-mac实名绑定的网络准入控制系统及控制方法
CN112307444A (zh) 角色创建方法、装置、计算机设备及存储介质
CN110177015A (zh) 一种管理终端接入网络的方法及装置
CN102035703A (zh) 一种家庭无线网络及其实现方法
CN108933702A (zh) 一种提供远程服务的方法
CN102006684B (zh) 带客人网络功能的无线路由器及其实现方法
US10277713B2 (en) Role-based access to shared resources
CN106231596A (zh) 一种接入点设备配置装置及其方法、一种接入点设备
CN1859384B (zh) 控制用户报文通过网络隔离设备的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant