CN105827648B - 基于ip-mac实名绑定的网络准入控制系统及控制方法 - Google Patents

Abstract

本发明涉及局域网网络准入技术领域，尤其涉及一种基于IP‑MAC实名绑定的网络准入控制系统及控制方法。所述系统包括核心交换机、DHCP服务器、FTP服务器和准入终端，核心交换机使用DHCP Snooping功能和ARP Inspection功能；还包括网络准入数据库服务器、网络准入控制服务器、生产网防火墙、服务器区防火墙、互联网防火墙和专线防火墙。本发明通过在准入控制服务器中内置Web程序和后台程序，通过Web程序可对系统进行参数配置，同时利用后台程序执行参数，可实现IP‑MAC‑实名的绑定和访问权限的有效时间的控制。同时，通过对核心交换机功能的设置，可实现对仿冒的DHCP服务器的屏蔽和手动配置的IP地址的屏蔽，方便了IP地址的有序管理。

Description

基于IP-MAC实名绑定的网络准入控制系统及控制方法

技术领域

本发明涉及局域网网络准入技术领域，尤其涉及一种基于IP-MAC实名绑定的网络准入控制系统及控制方法。

背景技术

局域网中一般使用IP地址对局域网中的计算机进行管理。在大型局域网中，一般使用DHCP服务器进行IP地址的自动分配。在大型制造业企业的局域网中，可能同时存在办公网、生产网、与合作企业的连接专线和互联网连接专线。办公网一般作为企业内网，生产网作为企业隔离网，与合作企业的连接专线和互联网专线一般作为企业外网。由于制造业的特殊性，要求严格控制人员对内网、隔离网和外网的连接，不同的人员应具备不同的连接权限。因此需要网络准入控制系统和控制方法对网络的连接权限进行控制。

目前比较流行的网络准入技术包括基于IP-MAC绑定的准入技术、802.1X准入控制技术、DHCP准入控制技术、网关型准入控制技术、MVG准入控制技术、ARP型准入控制技术。

基于IP-MAC绑定的准入技术是指通过在终端计算机接入网络的设备上设置访问控制列表或静态ARP表，只允许绑定了IP和MAC的计算机上网。网关型准入控制技术是在网络出口架设网关设备，由准入控制服务器控制网关设备对终端计算机访问外网进行控制。

基于IP-MAC绑定的准入技术存在以下问题：

1、该技术仅针对终端计算机对内网的接入权限，无法控制其访问内网中的不同资源的权限。

2、该技术没有实现终端计算机设备的网络实名制绑定。网管员需要单独建立实名-IP-MAC的对应表进行实名管理。

3、终端计算机的IP地址可以是手工指定的，也可以是从DHCP服务器获取的，容易造成管理的混乱。

4、须在每一个网络设备上建立一个访问控制列表或静态ARP表，且表的管理仅针对IP和MAC，管理员在成堆的表中管理眼花缭乱的IP和MAC地址，管理的时间成本和出错的可能性高。

5、终端计算机接入内网的时间无法自动控制，管理员需在审批的允许接入时间和禁止接入时间点进行手工更改配置。

网关型准入控制技术存在以下问题：

1、没有对终端接入内网进行控制。

2、没有对准入时间进行控制。

发明内容

为解决上述问题，本发明提供了一种基于IP-MAC实名绑定的可控制网络访问权限的网络准入控制系统及控制方法。

本发明所采用的技术方案如下：

一种基于IP-MAC实名绑定的网络准入控制系统，包括核心交换机、DHCP服务器、FTP服务器和准入终端，DHCP服务器、FTP服务器与核心交换机连接，DHCP服务器用于IP地址的下发和IP-MAC的绑定；FTP服务器用于核心交换机的DHCP Snooping绑定表的备份与恢复；核心交换机使用DHCP Snooping功能和ARP Inspection功能，用于实现对仿冒的DHCP服务器的屏蔽和手动配置的IP地址的屏蔽；还包括网络准入数据库服务器、网络准入控制服务器、生产网防火墙、服务器区防火墙、互联网防火墙和专线防火墙，网络准入控制服务器内置Web程序和后台程序，Web程序用于配置整个系统的各项参数；后台程序用于与其他设备进行交互，以执行系统的配置参数，实现IP-MAC-实名的绑定和访问权限的有效时间的控制；网络准入数据库服务器，用于存储网络准入控制系统的各项参数和控制数据；生产网防火墙安装于企业办公网与生产网之间，用于对办公网的IP地址访问生产网进行控制；服务器区防火墙安装于企业办公网内的服务器区边界上，用于对办公网的IP地址访问服务器区进行控制；互联网防火墙安装于企业办公网访问互联网的出口边界上，用于对办公网的IP地址访问互联网进行控制；专线防火墙安装于企业办公网与合作企业的专线连接的出口边界上，用于对办公网的IP地址访问专线出口进行控制。

进一步，所述的核心交换机采用三层交换机，核心交换机是局域网内各vlan(虚拟局域网)的网关，是局域网各数据交换的总枢纽。

进一步，所述的准入终端为所有需要进行准入控制的虚拟局域网中连接的终端，包括台式电脑、笔记本电脑、网络打印机、手机。凡是具有MAC地址的、使用IPv4的网卡都可作为准入控制的终端。

上述系统所用的网络准入控制方法，包括以下步骤：

步骤一、对网络准入控制系统的各项参数进行配置，具体过程如下：

1-1、管理员登录网络准入控制系统的Web页面；

1-2、管理员在网络准入控制系统中新建设备信息；

1-3、管理员在网络准入控制系统中新建各防火墙的地址资源；

1-4、管理员登录各防火墙，在各防火墙中新建ACL策略；

1-5、管理员在网络准入控制系统中新建各DHCP作用域，系统将新建的DHCP作用域信息写入命令行脚本中，并在DHCP服务器中使用该脚本；当DHCP作用域建好后，在DHCP服务器中添加策略，该策略规定只能对保留的IP-MAC地址对进行下发IP地址，未添加到保留的MAC地址将不下发IP地址；

1-6、管理员在网络准入控制系统中新建各部门的信息；

1-7、管理员在网络准入控制系统中新建准入终端的信息，将新建信息添加至任务记录表中，由后台程序对任务进行统一执行；

1-8、管理员登录核心交换机，在需要进行准入控制的虚拟局域网开启DHCPSnooping功能和ARP Inspection功能，并配置将DHCP Snooping绑定表备份到FTP服务器上的参数，核心交换机将在该绑定表发生变化后自动进行备份；

1-9、管理员在网络准入控制系统启动后台程序并使其进行循环作业；

步骤二、后台程序根据参数自动进行准入的控制，具体过程如下：

2-1、后台程序检测是否需要循环作业，如果是，进行步骤2-2，如果不是，暂停运行；

2-2、后台程序执行任务记录表中的项目，任务记录表中包含三类任务，新建终端、修改终端和删除终端；

2-3、判断当前系统时间是否超过了ActionTime参数记录的时间点，若超过了，执行步骤2-4，若未超过，执行步骤2-5；

2-4、逐条分析终端记录表中的记录，若当前系统时间在其权限有效时间范围内，且准入状态为未开启或已关闭，则开启该终端的准入权限；若不在范围内，且准入状态为已开启，则关闭终端的准入权限；

2-5、后台程序对网络准入控制系统中的防火墙地址资源表中的记录进行逐个判断，若该记录需要同步，则使用telnet远程登录到相应的防火墙设备上，将该记录信息转化为命令行脚本在防火墙上执行，以更新防火墙设备中的地址资源信息；

2-6、后台程序根据循环时间间隔参数等待一段时间，重新返回步骤2-1；

上述步骤中，如果出现任何错误，则记录日志，并将循环作业参数改为不循环。

管理员首次登录系统时需设置管理员密码，在配置参数过程中，所设置的信息都存储在网络准入控制系统的数据库中。

步骤1-2中的设备信息包括DHCP服务器、核心交换机和各网络防火墙的设备登录信息，设备登录信息包括设备的名称、品牌、IP地址、具有管理权限的账号及密码。系统根据设备名称判断设备的用途；根据设备的品牌选择对设备的配置命令的格式；使用IP地址、管理员账号、密码信息，用telnet的方式登录设备，自动对设备进行配置。

步骤1-3包括新建防火墙的主机地址资源和新建防火墙的主机组地址资源两步，主机地址资源内容为允许接入的IP地址的集合，主机组地址资源内容为各主机地址资源的名称的集合。主机地址资源中的IP地址数量不能超过120个，当允许接入的IP地址数量超过120的倍数时，需新建主机地址资源，并将该资源加入到主机组地址资源内容中。系统将根据地址资源的配置情况，使用telnet自动远程登录到相应的防火墙上，对地址资源进行修改配置。但新建的主机组地址资源由网络管理员登录其防火墙设备，手动添加至已建好的策略中。

步骤1-4中的ACL策略形式为：

，步骤1-4将已建好的主机组地址资源加入到策略中的源地址中。上述策略中，目的地址和端口是固定不变的，不需要网络准入控制系统进行自动配置，只有源地址需要网络准入控制系统进行管理。因此网络准入控制系统中的防火墙配置参数控制的是源地址的内容。

步骤1-5中DHCP作用域参数包括作用域名称、作用域ID、作用域起始IP和终止IP、作用域掩码。系统根据这些信息，使用命令行脚本的方式，对DHCP服务器进行配置，用于建立和删除DHCP作用域。

步骤1-6中各部门信息包括部门名称和DHCP作用域ID。因企业中一般将同一部门内的所有终端划入一个vlan中，多个部门也可能共用一个vlan，因此在记录准入终端的信息时使用该参数，既可实现对准入终端的责任部门的记录，又可自动实现对准入终端的vlan的划归。

步骤1-7中准入终端参数信息包括使用人姓名、责任部门、工作单位、联网事由、MAC地址、IP方式、IP地址、访问权限、权限起始日期和终止日期、权限开始时间和结束时间、接入状态、锁。

系统后台程序的运行参数包括后台程序的启停参数、后台程序的循环作业参数、循环时间间隔参数、ActionTime参数。后台程序使用无限循环的方式，对系统的各项配置参数进行轮询，并在参数发生变更时，与其他设备进行交互，更新参数的配置。后台程序的每次循环之间的时间间隔受循环时间间隔参数控制，默认是1秒。ActionTime参数记录一个时间点，若当前时间超过这个时间点，后台程序在轮询时就对准入终端记录表中的每个记录进行分析，判断该终端的准入权限是否应该关闭或开启，在对每个记录进行分析时，更新ActionTime参数，使其成为所有终端记录中，需要改变准入状态的未来时间点中的距离现在时间最近的一个时间点。当后台程序的循环作业参数改为不循环时，后台承诺工序停止循环。

步骤2-2中新建终端、修改终端和删除终端三类任务的具体过程如下：

(1)新建终端：判断当前系统时间是否在该终端的准入有效时间范围内，若在范围内，修改ActionTime参数为当前系统时间，并将该终端信息添加至终端记录表中，并在任务记录表中删除该记录；若不在范围内，直接添加至终端记录表中，并在任务记录表中删除该终端信息；终端记录表中的相应记录的初始准入状态为未开启；

(2)修改终端：判断终端的准入状态，若该终端当前没有开启准入权限，则直接修改终端记录表中的记录，并在任务记录表中删除该记录；若该终端已开启准入权限，则进一步判断修改的内容，分为三种情况：

A、满足以下条件之一的，将ActionTime参数修改为当前时间，并将终端记录表中的原记录中的结束日期和关闭时间改为当前系统日期和时间，等到该终端的准入状态改为已关闭时再将修改后的信息覆盖至终端记录表中的原记录上，然后删除任务记录表中的相应记录；

i)终端的责任部门修改后，不在原来的虚拟局域网中；

ii)终端的IP地址进行了修改；

iii)终端的访问权限进行了修改；

iv)终端的权限有效时间修改后，当前系统时间不在有效时间内；

B、终端的使用人名称修改后，后台程序将在DHCP服务器中对应的该终端的保留中，修改保留的备注信息，之后将终端记录表中的原记录进行更新，然后删除任务记录表中的相应记录；

C、满足以下条件之一的，后台程序直接更新终端记录表中的原记录，然后删除任务记录表中的相应记录；

i)终端的责任部门修改后，还在原来的虚拟局域网中；

ii)终端的工作单位进行了修改；

iii)终端的联网事由进行了修改；

iv)终端的权限有效时间修改后，当前系统时间还在有效时间内；

(3)删除终端：判断终端的准入状态，若该终端当前没有开启准入权限，则直接删除终端记录表中的记录，并在任务记录表中删除该记录；若该终端已开启准入权限，则将ActionTime参数修改为当前时间，并将终端记录表中的原记录中的结束日期和关闭时间改为当前系统日期和时间，等到该终端的准入状态改为已关闭时直接删除终端记录表中的记录，并在任务记录表中删除该记录。步骤2-4中权限开启过程和关闭过程如下：

A、权限开启过程：后台程序判断该终端的IP地址字段是否已填写，若未填写，在该终端所在的DHCP作用域中寻找尚未分配的IP地址填写至该字段中；然后后台程序在DHCP服务器上的相应作用域中为该终端建立保留，并添加备注，备注信息为“部门-姓名”；之后，后台程序根据终端的访问权限在准入系统中的相应的防火墙地址资源表中添加该终端的IP地址，并将该资源的记录修改为需要同步的状态；最后，将终端表中的相应记录的准入状态改为已开启；

B、权限关闭过程：后台程序根据终端的访问权限在准入系统中的相应的防火墙地址资源表中删除该终端的IP地址，并将该资源的记录修改为需要同步的状态；然后后台程序在DHCP服务器上的相应作用域中将该终端的保留删除；最后将终端表中的相应记录的准入状态改为已关闭。

本发明通过在准入控制服务器中内置Web程序和后台程序，通过Web程序可对系统进行参数配置，同时利用后台程序执行参数，可实现IP-MAC-实名的绑定和访问权限的有效时间的控制。同时，通过对核心交换机功能的设置，可实现对仿冒的DHCP服务器的屏蔽和手动配置的IP地址的屏蔽，方便了IP地址的有序管理。

附图说明

图1是本发明系统的结构图；

图2是本发明方法步骤一的操作流程图；

图3是本发明方法步骤二的操作流程图；

图4是步骤2-2中新建终端任务的流程图；

图5是步骤2-2中修改终端任务的流程图；

图6是步骤2-2中删除终端任务的流程图；

图7是步骤2-4中权限开启和关闭过程流程图。

具体实施方式

下面结合附图对本发明的实施方式进行详细说明。

基于IP-MAC实名绑定的网络准入控制系统，如图1所示，包括核心交换机及DHCP服务器、FTP服务器、网络准入数据库服务器、网络准入控制服务器和办公网准入终端。核心交换机采用三层交换机，是局域网内各vlan的网关。本发明中核心交换机使用DHCP Snooping功能和ARP Inspection功能，用于实现对仿冒的DHCP服务器的屏蔽和手动配置的IP地址的屏蔽。DHCP服务器与核心交换机直接相连或与受准入控制的终端不直接连接在同一台二层交换机上，用于IP地址的下发和IP-MAC的绑定。FTP服务器与核心交换机在网络上可以相互访问，用于核心交换机的DHCP Snooping绑定表的备份与恢复。网络准入控制服务器与网络准入数据库服务器进行交互，其内置Web程序和后台程序。管理员使用Web页面的形式与Web程序进行交互，用于配置整个系统的各项参数；后台程序用于与其他设备进行交互，以执行系统的配置参数，实现IP-MAC-实名的绑定和访问权限的有效时间的控制。网络准入数据库服务器与网络准入控制服务器在网络上可以相互访问，安装有数据库程序，用于存储网络准入控制系统的各项参数和控制数据。办公网准入终端为所有需要进行准入控制的虚拟局域网(vlan)中连接的终端，包括台式电脑、笔记本电脑、网络打印机、手机。凡是具有MAC地址的、使用IPv4的网卡都可作为准入控制的终端。

该系统还包括生产网防火墙、服务器区防火墙、互联网防火墙和专线防火墙，生产网防火墙安装于企业办公网与生产网之间，起逻辑隔离作用，使用防火墙的ACL功能实现对办公网的IP地址访问生产网进行控制。服务器区防火墙安装于企业办公网内的服务器区边界上，使用防火墙的ACL功能实现对办公网的IP地址访问服务器区进行控制。互联网防火墙安装于企业办公网访问互联网的出口边界上，使用防火墙的ACL功能实现对办公网的IP地址访问互联网进行控制。专线防火墙安装于企业办公网与合作企业的专线连接的出口边界上，使用防火墙的ACL功能实现对办公网的IP地址访问专线出口进行控制。

系统后台程序的运行参数包括后台程序的启停参数、后台程序的循环作业参数、循环时间间隔参数、ActionTime参数。后台程序使用无限循环的方式，对系统的各项配置参数进行轮询，并在参数发生变更时，与其他设备进行交互，更新参数的配置。后台程序的每次循环之间的时间间隔受循环时间间隔参数控制，默认是1秒。ActionTime参数记录一个时间点，若当前时间超过这个时间点，后台程序在轮询时就对准入终端记录表中的每个记录进行分析，判断该终端的准入权限是否应该关闭或开启，在对每个记录进行分析时，更新ActionTime参数，使其成为所有终端记录中，需要改变准入状态的未来时间点中的距离现在时间最近的一个时间点。当后台程序的循环作业参数改为不循环时，后台承诺工序停止循环。

上述系统所用的网络准入控制方法，包括以下步骤：

步骤一、对网络准入控制系统的各项参数进行配置，如图2所示，具体过程如下：

1-1、管理员登录网络准入控制系统的Web页面；首次登录需设置管理员密码，此信息将存储在准入控制系统的数据库中。

1-2、管理员在网络准入控制系统中新建设备信息，包括DHCP服务器、核心交换机和各网络防火墙的设备登录信息，设备登录信息包括设备的名称、品牌、IP地址、具有管理权限的账号及密码。

1-3、管理员在网络准入控制系统中新建各防火墙的地址资源。

(1)新建防火墙的主机地址资源，主机地址资源内容为允许接入的IP地址的集合。系统将新建的地址资源信息写入命令行脚本中，并使用设备信息中的记录，通过telnet远程登录到相应的防火墙，在该防火墙中运行命令行脚本。当防火墙中已添加了该地址资源后，系统将新建的地址资源信息写入准入控制系统数据库中。

(2)新建防火墙的主机组地址资源，在新建的同时将已建立好的主机地址资源加入到主机组中。主机组地址资源内容各主机地址资源的名称的集合。系统将新建的地址资源信息写入命令行脚本中，并使用设备信息中的记录，通过telnet远程登录到相应的防火墙，在该防火墙中运行命令行脚本。当防火墙中已添加了该地址资源后，系统将新建的地址资源信息写入准入控制系统数据库中。

1-4、管理员登录各防火墙，在各防火墙中新建ACL策略，并将已建好的主机组地址资源加入到策略中的源地址中。ACL策略的形式如下：

1-5、管理员在网络准入控制系统中新建各DHCP作用域，DHCP作用域参数包括作用域名称、作用域ID、作用域起始IP和终止IP、作用域掩码。系统将新建的DHCP作用域信息写入命令行脚本中，并在DHCP服务器中使用该脚本；当DHCP作用域建好后，在DHCP服务器中添加策略，该策略规定只能对保留的IP-MAC地址对进行下发IP地址，未添加到保留的MAC地址将不下发IP地址。

1-6、管理员在网络准入控制系统中新建各部门的信息，部门信息包括部门名称和DHCP作用域ID。

1-7、管理员在网络准入控制系统中新建准入终端的信息，将新建信息添加至任务记录表中，由后台程序对任务进行统一执行；准入终端参数信息包括使用人姓名、责任部门、工作单位、联网事由、MAC地址、IP方式、IP地址、访问权限、权限起始日期和终止日期、权限开始时间和结束时间、接入状态、锁。其中，责任部门只能从企业部门参数中进行选择；MAC地址为记录的唯一标识，不能重复；IP方式使用自动获取的方式；IP地址可以由系统从DHCP作用域的IP地址池中自动分配，也可在该池中进行手动选择；访问权限从系统中已固定的权限中进行选择；访问权限的有效时间为在起始和终止日期之间的每天的开始时间和结束时间之间；接入状态显示该终端的访问权限当前是否已开启，此参数为系统自动更改，人工不可更改。

1-8、管理员登录核心交换机，在需要进行准入控制的虚拟局域网开启DHCPSnooping功能和ARP Inspection功能，并配置将DHCP Snooping绑定表备份到FTP服务器上的参数，核心交换机将在该绑定表发生变化后自动进行备份。

1-9、管理员在网络准入控制系统启动后台程序并使其进行循环作业。

步骤二、后台程序根据参数自动进行准入的控制，如图3所示，具体过程如下：

2-1、后台程序检测是否需要循环作业，如果是，进行步骤2-2，如果不是，暂停运行；

2-2、后台程序执行任务记录表中的项目，任务记录表中包含三类任务，新建终端、修改终端和删除终端，具体过程如下：

(1)新建终端：判断当前系统时间是否在该终端的准入有效时间范围内，若在范围内，修改ActionTime参数为当前系统时间，并将该终端信息添加至终端记录表中，并在任务记录表中删除该记录；若不在范围内，直接添加至终端记录表中，并在任务记录表中删除该终端信息；终端记录表中的相应记录的初始准入状态为未开启；

(2)修改终端：判断终端的准入状态，若该终端当前没有开启准入权限，则直接修改终端记录表中的记录，并在任务记录表中删除该记录；若该终端已开启准入权限，则进一步判断修改的内容，分为三种情况：

A、满足以下条件之一的，将ActionTime参数修改为当前时间，并将终端记录表中的原记录中的结束日期和关闭时间改为当前系统日期和时间，等到该终端的准入状态改为已关闭时再将修改后的信息覆盖至终端记录表中的原记录上，然后删除任务记录表中的相应记录；

i)终端的责任部门修改后，不在原来的虚拟局域网中；

ii)终端的IP地址进行了修改；

iii)终端的访问权限进行了修改；

iv)终端的权限有效时间修改后，当前系统时间不在有效时间内；

B、终端的使用人名称修改后，后台程序将在DHCP服务器中对应的该终端的保留中，修改保留的备注信息，之后将终端记录表中的原记录进行更新，然后删除任务记录表中的相应记录；

C、满足以下条件之一的，后台程序直接更新终端记录表中的原记录，然后删除任务记录表中的相应记录；

i)终端的责任部门修改后，还在原来的虚拟局域网中；

ii)终端的工作单位进行了修改；

iii)终端的联网事由进行了修改；

iv)终端的权限有效时间修改后，当前系统时间还在有效时间内；

(3)删除终端：判断终端的准入状态，若该终端当前没有开启准入权限，则直接删除终端记录表中的记录，并在任务记录表中删除该记录；若该终端已开启准入权限，则将ActionTime参数修改为当前时间，并将终端记录表中的原记录中的结束日期和关闭时间改为当前系统日期和时间，等到该终端的准入状态改为已关闭时直接删除终端记录表中的记录，并在任务记录表中删除该记录。

2-3、判断当前系统时间是否超过了ActionTime参数记录的时间点，若超过了，执行步骤2-4，若未超过，执行步骤2-5。

2-4、逐条分析终端记录表中的记录，若当前系统时间在其权限有效时间范围内，且准入状态为未开启或已关闭，则开启该终端的准入权限；若不在范围内，且准入状态为已开启，则关闭终端的准入权限。权限开启过程和关闭过程如下：

A、权限开启过程：后台程序判断该终端的IP地址字段是否已填写，若未填写，在该终端所在的DHCP作用域中寻找尚未分配的IP地址填写至该字段中；然后后台程序在DHCP服务器上的相应作用域中为该终端建立保留，并添加备注，备注信息为“部门-姓名”；之后，后台程序根据终端的访问权限在准入系统中的相应的防火墙地址资源表中添加该终端的IP地址，并将该资源的记录修改为需要同步的状态；最后，将终端表中的相应记录的准入状态改为已开启。

B、权限关闭过程：后台程序根据终端的访问权限在准入系统中的相应的防火墙地址资源表中删除该终端的IP地址，并将该资源的记录修改为需要同步的状态；然后后台程序在DHCP服务器上的相应作用域中将该终端的保留删除；最后将终端表中的相应记录的准入状态改为已关闭。

2-5、后台程序对网络准入控制系统中的防火墙地址资源表中的记录进行逐个判断，若该记录需要同步，则使用telnet远程登录到相应的防火墙设备上，将该记录信息转化为命令行脚本在防火墙上执行，以更新防火墙设备中的地址资源信息。

2-6、后台程序根据循环时间间隔参数等待一段时间，重新返回步骤2-1。

上述步骤中，如果出现任何错误，则记录日志，并将循环作业参数改为不循环。

Claims (10)

1.一种基于IP-MAC实名绑定的网络准入控制系统，包括核心交换机、DHCP服务器、FTP服务器和准入终端，DHCP服务器、FTP服务器与核心交换机连接，DHCP服务器用于IP地址的下发和IP-MAC的绑定；FTP服务器用于核心交换机的DHCP Snooping绑定表的备份与恢复；其特征在于：核心交换机使用DHCP Snooping功能和ARP Inspection功能，用于实现对仿冒的DHCP服务器的屏蔽和手动配置的IP地址的屏蔽；DHCP服务器添加有规定只对保留的IP-MAC地址对进行下发IP地址、未添加到保留的MAC地址将不下发IP地址的策略；还包括网络准入数据库服务器、网络准入控制服务器、生产网防火墙、服务器区防火墙、互联网防火墙和专线防火墙，网络准入控制服务器内置Web程序和后台程序，Web程序用于配置整个系统的各项参数，包括新建设备信息、新建各防火墙的地址资源、在各防火墙中新建ACL策略、新建各DHCP作用域、新建各部门的信息、新建准入终端的信息；后台程序用于与其他设备进行交互，以执行系统的配置参数，实现IP-MAC-实名的绑定和访问权限的有效时间的控制；网络准入数据库服务器，用于存储网络准入控制系统的各项参数和控制数据；生产网防火墙安装于企业办公网与生产网之间，用于利用其ACL功能实现对办公网的IP地址访问生产网进行控制；服务器区防火墙安装于企业办公网内的服务器区边界上，用于利用其ACL功能实现对办公网的IP地址访问服务器区进行控制；互联网防火墙安装于企业办公网访问互联网的出口边界上，用于利用其ACL功能实现对办公网的IP地址访问互联网进行控制；专线防火墙安装于企业办公网与合作企业的专线连接的出口边界上，用于利用其ACL功能实现对办公网的IP地址访问专线出口进行控制。

2.根据权利要求1所述的基于IP-MAC实名绑定的网络准入控制系统，其特征在于：所述的核心交换机采用三层交换机。

3.根据权利要求1所述的基于IP-MAC实名绑定的网络准入控制系统，其特征在于：所述的准入终端为所有需要进行准入控制的虚拟局域网中连接的终端，包括台式电脑、笔记本电脑、网络打印机、手机。

4.根据权利要求1-3任一项所述的基于IP-MAC实名绑定的网络准入控制系统的网络准入控制方法，其特征在于包括以下步骤：

步骤一、对网络准入控制系统的各项参数进行配置，具体过程如下：

1-1、管理员登录网络准入控制系统的Web页面；

1-2、管理员在网络准入控制系统中新建设备信息；

1-3、管理员在网络准入控制系统中新建各防火墙的地址资源；

1-4、管理员登录各防火墙，在各防火墙中新建ACL策略；

1-5、管理员在网络准入控制系统中新建各DHCP作用域，系统将新建的DHCP作用域信息写入命令行脚本中，并在DHCP服务器中使用该脚本；当DHCP作用域建好后，在DHCP服务器中添加策略，该策略规定只能对保留的IP-MAC地址对进行下发IP地址，未添加到保留的MAC地址将不下发IP地址；

1-6、管理员在网络准入控制系统中新建各部门的信息；

1-7、管理员在网络准入控制系统中新建准入终端的信息，将新建信息添加至任务记录表中，由后台程序对任务进行统一执行；

1-8、管理员登录核心交换机，在需要进行准入控制的虚拟局域网开启DHCP Snooping功能和ARP Inspection功能，并配置将DHCP Snooping绑定表备份到FTP服务器上的参数，核心交换机将在该绑定表发生变化后自动进行备份；

1-9、管理员在网络准入控制系统启动后台程序并使其进行循环作业；

步骤二、后台程序根据参数自动进行准入的控制，具体过程如下：

2-1、后台程序检测是否需要循环作业，如果是，进行步骤2-2，如果不是，暂停运行；

2-2、后台程序执行任务记录表中的项目，任务记录表中包含三类任务，新建终端、修改终端和删除终端；

2-3、判断当前系统时间是否超过了ActionTime参数记录的时间点，若超过了，执行步骤2-4，若未超过，执行步骤2-5；

2-4、逐条分析终端记录表中的记录，若当前系统时间在其权限有效时间范围内，且准入状态为未开启或已关闭，则开启该终端的准入权限；若不在范围内，且准入状态为已开启，则关闭终端的准入权限；

2-5、后台程序对网络准入控制系统中的防火墙地址资源表中的记录进行逐个判断，若该记录需要同步，则使用telnet远程登录到相应的防火墙设备上，将该记录信息转化为命令行脚本在防火墙上执行，以更新防火墙设备中的地址资源信息；

2-6、后台程序根据循环时间间隔参数等待一段时间，重新返回步骤2-1；

上述步骤中，如果出现任何错误，则记录日志，并将循环作业参数改为不循环。

5.根据权利要求4所述的基于IP-MAC实名绑定的网络准入控制系统的网络准入控制方法，其特征在于：步骤1-2中的设备信息包括DHCP服务器、核心交换机和各网络防火墙的设备登录信息，设备登录信息包括设备的名称、品牌、IP地址、具有管理权限的账号及密码。

6.根据权利要求4所述的基于IP-MAC实名绑定的网络准入控制系统的网络准入控制方法，其特征在于：步骤1-3包括新建防火墙的主机地址资源和新建防火墙的主机组地址资源两步，主机地址资源内容为允许接入的IP地址的集合，主机组地址资源内容为各主机地址资源的名称的集合。

7.根据权利要求6所述的基于IP-MAC实名绑定的网络准入控制系统的网络准入控制方法，其特征在于：步骤1-4中的ACL策略形式为：

，

步骤1-4将已建好的主机组地址资源加入到策略中的源地址中。

8.根据权利要求4所述的基于IP-MAC实名绑定的网络准入控制系统的网络准入控制方法，其特征在于：步骤1-6中各部门信息包括部门名称和DHCP作用域ID。

9.根据权利要求4所述的基于IP-MAC实名绑定的网络准入控制系统的网络准入控制方法，其特征在于：步骤2-2中新建终端、修改终端和删除终端三类任务的具体过程如下：

(1)新建终端：判断当前系统时间是否在该终端的准入有效时间范围内，若在范围内，修改ActionTime参数为当前系统时间，并将该终端信息添加至终端记录表中，并在任务记录表中删除该记录；若不在范围内，直接添加至终端记录表中，并在任务记录表中删除该终端信息；终端记录表中的相应记录的初始准入状态为未开启；

(2)修改终端：判断终端的准入状态，若该终端当前没有开启准入权限，则直接修改终端记录表中的记录，并在任务记录表中删除该记录；若该终端已开启准入权限，则进一步判断修改的内容，分为三种情况：

A、满足以下条件之一的，将ActionTime参数修改为当前时间，并将终端记录表中的原记录中的结束日期和关闭时间改为当前系统日期和时间，等到该终端的准入状态改为已关闭时再将修改后的信息覆盖至终端记录表中的原记录上，然后删除任务记录表中的相应记录；

i)终端的责任部门修改后，不在原来的虚拟局域网中；

ii)终端的IP地址进行了修改；

iii)终端的访问权限进行了修改；

iv)终端的权限有效时间修改后，当前系统时间不在有效时间内；

B、终端的使用人名称修改后，后台程序将在DHCP服务器中对应的该终端的保留中，修改保留的备注信息，之后将终端记录表中的原记录进行更新，然后删除任务记录表中的相应记录；

C、满足以下条件之一的，后台程序直接更新终端记录表中的原记录，然后删除任务记录表中的相应记录；

i)终端的责任部门修改后，还在原来的虚拟局域网中；

ii)终端的工作单位进行了修改；

iii)终端的联网事由进行了修改；

iv)终端的权限有效时间修改后，当前系统时间还在有效时间内；

(3)删除终端：判断终端的准入状态，若该终端当前没有开启准入权限，则直接删除终端记录表中的记录，并在任务记录表中删除该记录；若该终端已开启准入权限，则将ActionTime参数修改为当前时间，并将终端记录表中的原记录中的结束日期和关闭时间改为当前系统日期和时间，等到该终端的准入状态改为已关闭时直接删除终端记录表中的记录，并在任务记录表中删除该记录。

10.根据权利要求4所述的基于IP-MAC实名绑定的网络准入控制系统的网络准入控制方法，其特征在于：步骤2-4中权限开启过程和关闭过程如下：

A、权限开启过程：后台程序判断该终端的IP地址字段是否已填写，若未填写，在该终端所在的DHCP作用域中寻找尚未分配的IP地址填写至该字段中；然后后台程序在DHCP服务器上的相应作用域中为该终端建立保留，并添加备注，备注信息为“部门-姓名”；之后，后台程序根据终端的访问权限在准入系统中的相应的防火墙地址资源表中添加该终端的IP地址，并将该资源的记录修改为需要同步的状态；最后，将终端表中的相应记录的准入状态改为已开启；

B、权限关闭过程：后台程序根据终端的访问权限在准入系统中的相应的防火墙地址资源表中删除该终端的IP地址，并将该资源的记录修改为需要同步的状态；然后后台程序在DHCP服务器上的相应作用域中将该终端的保留删除；最后将终端表中的相应记录的准入状态改为已关闭。