CN109347784B - 终端准入控制方法、控制器、管控设备及系统 - Google Patents
终端准入控制方法、控制器、管控设备及系统 Download PDFInfo
- Publication number
- CN109347784B CN109347784B CN201810911942.3A CN201810911942A CN109347784B CN 109347784 B CN109347784 B CN 109347784B CN 201810911942 A CN201810911942 A CN 201810911942A CN 109347784 B CN109347784 B CN 109347784B
- Authority
- CN
- China
- Prior art keywords
- terminal
- control
- internet
- management
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本发明实施例提供一种终端准入控制方法、控制器、管控设备、接入设备及系统。所述方法包括:物联终端接入网络后通过上送ARP报文至SDN控制器管控,SDN控制器根据物联终端标识进行审批,并向管控设备下发根据合法终端生成的终端接入控制表,管控设备仅根据终端接入控制表进行物联终端的入网控制,从而阻断未审批终端联网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
Description
技术领域
本发明实施例涉及通信技术领域,具体涉及一种终端准入控制方法、控制器、管控设备、接入设备及系统。
背景技术
随着高清视频、云服务、社交应用、Web 2.0等应用普及,网络接入带宽规模在几年内形成几何级数的增长,同时移动终端高速普及,无线网络接入的需求也在校园网内逐步形成规模:一个学生配备多个上网设备已成为主流,并且智慧校园软件的不断发展及丰富,校园网承载业务日趋增多。在这种场景下,存在以下问题:如果网络中的物联终端设备直接连入教学娱乐网,将存在安全隐患,且不易管理。当网络出现攻击行为或者用户故障时,管理人员无法快速并准确的定位用户位置或者用户身份,无法快速的解决网络问题,影响到整个网络的使用体验。
基于安全考虑,通常会进行物联终端的准入控制,合法的终端才允许接入网络。而通常的准入控制方案一般使用准入认证,但准入认证会引入诸如不稳定及使用维护麻烦等问题,因此实际终端设备基本不会部署,而使用对接入设备进行IP+MAC(Media AccessControl,媒体访问控制)绑定替代准入认证。IP+MAC绑定通过DHCP(Dynamic HostConfiguration Protocol,动态主机配置协议)做动态绑定时,DHCP无法识别合法终端MAC地址,并且存在接入设备品牌绑定的问题。
目前通常采用静态IP+MAC进行绑定,以静态IP非认证物联终端上线场景为例,通常需要以下步骤:首先业务部门向网络中心申请一个静态IP地址;网络部门为物联终端分配一个IP地址,通过人工录入Excel,记录物联终端和对应的IP地址;协调运维人员,到现场找到物联终端接入的交换机和接入端口,如果已收集了终端MAC地址,则通过登录交换机查看MAC地址,若找不到终端MAC地址,则需要通过网线的标记来查找对应的网口;之后网络中心为物联终端单独划分一个VLAN(Virtual Local Area Network,虚拟局域网),然后关闭终端接入端口的动态IP地址检查,关闭端口的认证或者将其配置成MAC无感知准入;最后根据物联终端的特性为其分配访问策略,从而完成物联终端的入网过程。
然而,采用静态IP+MAC进行绑定时,新增终端接入上线周期较长,且配置操作复杂,通过网线的标记来查找对应的网口,由于网线密集,查找耗时较长,同时由于关闭了端口安全检查,存在网络安全隐患。当终端用户迁移时,需要重新进行IP地址分配,访问策略也需要重新配置,并且,由于依赖运维人员人工录入合法物联终端及其IP地址,容易存在错误配置、漏配置的情况,导致网络故障。
发明内容
针对现有技术中的缺陷,本发明实施例提供了一种终端准入控制方法、控制器、管控设备、接入设备及系统。
第一方面,本发明实施例提供一种终端准入控制方法,包括:
接收管控设备转发的来自物联终端的ARP请求报文,所述ARP请求报文携带物联终端的终端标识;
根据所述终端标识匹配预设合法终端列表,判断所述物联终端是否为合法终端;
若所述物联终端为合法终端,则根据所述物联终端的终端标识,生成终端接入控制表;
若所述物联终端为非合法终端,则将所述物联终端的终端标识发送至待审批列表,并在所述物联终端审批通过后,根据所述物联终端的终端标识,生成终端接入控制表;
将所述终端接入控制表发送至所述管控设备,以供所述管控设备根据所述终端接入控制表控制物联终端入网。如上述方法,可选地,还包括:
设置业务网中每个业务子网的管控状态,其中,所述管控状态包括:管控开启状态和管控关闭状态;
若判断获知业务子网的管控状态为管控开启状态,则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置;
相应地,所述接收管控设备转发的来自物联终端的ARP请求报文,包括:
接收管控设备根据所述OpenFlow上报流表转发的来自物联终端的ARP请求报文。
如上述方法,可选地,所述管控开启状态包括:免管控开启时段;
相应地,所述方法还包括:
若判断获知所述物联终端对应的业务子网处于免管控开启时段,则向所述业务子网对应的管控设备发送删除所述阻断入网配置的第一删除指令;
相应地,所述接收管控设备转发的来自物联终端的ARP请求报文之后,还包括:
若判断获知所述物联终端对应的业务子网处于免管控开启时段,则根据所述物联终端的终端标识,生成终端接入控制表;
相应地,所述根据所述终端标识匹配预设合法终端列表,判断所述物联终端是否为合法终端,包括:
若判断获知所述物联终端对应的业务子网不处于免管控开启时段,则根据所述终端标识匹配预设合法终端列表,判断所述物联终端是否为合法终端。
如上述方法,可选地,还包括:
设置每个业务子网的终端自发现状态,所述终端自发现状态包括终端自发现开启状态和终端自发现关闭状态;
相应地,所述若判断获知业务子网的管控状态为管控开启状态,则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置,包括:
若判断获知所述业务子网的管控状态为管控开启状态并且所述业务子网的终端自发现状态为终端自发现开启状态,则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置;
否则,向所述业务子网对应的管控设备发送删除所述OpenFlow上报流表的第二删除指令。
如上述方法,可选地,所述管控设备包括:业务网对应的网关设备;
相应地,所述向所述业务子网对应的管控设备发送阻断入网配置,包括:
向所述业务子网对应的网关设备发送关闭ARP学习配置,所述关闭ARP学习配置用于指示所述网关设备关闭与所述业务子网对应的SVI端口的ARP学习功能,并删除与所述业务子网对应的根据ARP请求报文学习的动态ARP表;
相应地,所述将所述终端接入控制表发送至所述管控设备,以供所述管控设备根据所述终端接入控制表控制物联终端入网,包括:
将所述终端接入控制表发送至所述网关设备,以供所述网关设备根据所述终端接入控制表应答所述物联终端发送的ARP请求。
如上述方法,可选地,还包括:
删除所述业务网对应的网关设备;
若判断获知所述业务网中至少一个业务子网的管控状态为管控开启状态,则生成删除网关设备失败的告警信息。
如上述方法,可选地,还包括:
为所述业务网添加对应的网关设备;
若判断获知所述业务网中至少一个业务子网的管控状态为管控开启状态或所述业务网对应的网关设备的数量为1,则生成添加网关设备失败的告警信息。
如上述方法,可选地,所述管控设备包括:业务网对应的接入设备;
相应地,所述方法还包括:为每个所述接入设备设置管控端口和免管控端口;
向每个所述管控端口发送端口安全配置;
向每个所述免管控端口发送报文入网转发流表;
相应地,所述向所述业务子网对应的管控设备发送阻断入网配置,包括:
向所述业务子网对应的接入设备发送IP报文丢弃流表,其中,所述IP报文丢弃流表的优先级小于所述端口安全配置的优先级,并且,所述IP报文丢弃流表的优先级小于所述报文入网转发流表;
相应地,所述将所述终端接入控制表发送至所述管控设备,以供所述管控设备根据所述终端接入控制表控制物联终端入网,包括:
将所述终端接入控制表发送至所述接入设备中的所有管控端口,以供所述管控端口根据所述终端接入控制表更新所述端口安全配置,并根据所述端口安全配置控制物联终端入网。
如上述方法,可选地,还包括:
若判断获知所述业务子网的管控状态为管控关闭状态,则向所述管控端口下发删除端口安全配置的第三删除指令;
若判断获知所述业务子网处于终端自发现开启状态,则向所述接入设备发送删除所述OpenFlow上报流表的第二删除指令;
若判断获知所述业务子网不处于免管控开启时段,则向所述接入设备发送删除所述IP报文丢弃流表的第一删除指令。
如上述方法,可选地,还包括:
删除接入设备对应的免管控端口,将所述免管控端口更新为管控端口;
向更新后的管控端口发送端口安全配置;
向所述更新后的管控端口下发删除所述报文入网转发流表的第四删除指令。
如上述方法,可选地,还包括:
删除接入设备对应的管控端口,将所述管控端口更新为免管控端口;
向更新后的免管控端口下发删除所述端口安全配置的第三删除指令;
向所述更新后的免管控端口下发报文入网转发流表。
第二方面,本发明又一实施例提供一种终端准入控制方法,包括:
接收来自物联终端的ARP请求报文,所述ARP请求报文携带物联终端的终端标识;
将所述ARP请求报文转发至SDN控制器,以供所述SDN控制器在判断获知所述物联终端为合法终端时,根据所述物联终端的终端标识,生成终端接入控制表,或在判断获知所述物联终端为非合法终端时,将所述物联终端的终端标识发送至待审批列表,并在所述物联终端审批通过后,根据所述终端标识生成终端接入控制表;
接收所述SDN控制器发送的终端接入控制表;
根据所述终端接入控制表控制物联终端入网。
如上述方法,可选地,还包括:
接收所述SDN控制器在判断获知业务子网的管控状态为管控开启状态时下发的OpenFlow上报流表和阻断入网配置;
根据所述阻断入网配置阻止物联终端入网;
相应地,所述将所述ARP请求报文转发至SDN控制器,包括:
根据所述OpenFlow上报流表将所述ARP请求报文转发至SDN控制器。
如上述方法,可选地,还包括;
接收所述SDN控制器在判断获知业务子网处于免管控开启时段时下发的第一删除指令;
根据所述第一删除指令删除所述阻断入网配置。
如上述方法,可选地,还包括:
接收所述SDN控制器在判断获知业务子网处于终端自发现关闭状态下下发的第二删除指令;
根据所述第二删除指令删除所述OpenFlow上报流表。
第三方面,本发明实施例提供一种SDN控制器,包括:
第一接收模块,用于接收管控设备转发的来自物联终端的ARP请求报文,所述ARP请求报文携带物联终端的终端标识;
判断模块,用于根据所述终端标识匹配预设合法终端列表,判断所述物联终端是否为合法终端;
第一控制表生成模块,用于若所述物联终端为合法终端,则根据所述物联终端的终端标识,生成终端接入控制表;
第二控制表生成模块,若所述物联终端为非合法终端,则将所述物联终端的终端标识发送至待审批列表,并在所述物联终端审批通过后,根据所述物联终端的终端标识,生成终端接入控制表;
第一发送模块,用于将所述终端接入控制表发送至所述管控设备,以供所述管控设备根据所述终端接入控制表控制物联终端入网。
如上SDN控制器,可选地,还包括:
管控设置模块,用于设置业务网中每个业务子网的管控状态,其中,所述管控状态包括:管控开启状态和管控关闭状态;
第二发送模块,用于若判断获知业务子网的管控状态为管控开启状态,则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置;
相应地,所述第一接收模块具体用于:
接收管控设备根据所述OpenFlow上报流表转发的来自物联终端的ARP请求报文。
如上SDN控制器,可选地,所述管控开启状态包括:免管控开启时段;
相应地,所述SDN控制器还包括:
免管控处理模块,用于若判断获知所述物联终端对应的业务子网处于免管控开启时段,则向所述业务子网对应的管控设备发送删除所述阻断入网配置的第一删除指令;
相应地,所述SDN控制器还包括:
第三控制表生成模块,用于若判断获知所述物联终端对应的业务子网处于免管控开启时段,则根据所述物联终端的终端标识,生成终端接入控制表;
相应地,所述判断模块具体用于:
若判断获知所述物联终端对应的业务子网不处于免管控开启时段,则根据所述终端标识匹配预设合法终端列表,判断所述物联终端是否为合法终端。
如上SDN控制器,可选地,还包括:
自发现设置模块,用于设置每个业务子网的终端自发现状态,所述终端自发现状态包括终端自发现开启状态和终端自发现关闭状态;
相应地,所述第二发送模块具体用于:
若判断获知所述业务子网的管控状态为管控开启状态并且所述业务子网的终端自发现状态为终端自发现开启状态,则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置;
否则,向所述业务子网对应的管控设备发送删除所述OpenFlow上报流表的第二删除指令。
第四方面,本发明实施例提供一种管控设备,包括:
第二接收模块,用于接收来自物联终端的ARP请求报文,所述ARP请求报文携带物联终端的终端标识;
上报模块,用于将所述ARP请求报文转发至SDN控制器,以供所述SDN控制器在判断获知所述物联终端为合法终端时,根据所述物联终端的终端标识,生成终端接入控制表,或在判断获知所述物联终端为非合法终端时,将所述物联终端的终端标识发送至待审批列表,并在所述物联终端审批通过后,根据所述终端标识生成终端接入控制表;
第三接收模块,用于接收所述SDN控制器发送的终端接入控制表;
准入控制模块,用于根据所述终端接入控制表控制物联终端入网。
如上述管控设备,可选地,还包括:
第四接收模块,用于接收所述SDN控制器在判断获知业务子网的管控状态为管控开启状态时下发的OpenFlow上报流表和阻断入网配置;
禁止入网模块,用于根据所述阻断入网配置阻止物联终端入网;
相应地,所述上报模块具体用于:
根据所述OpenFlow上报流表将所述ARP请求报文转发至SDN控制器。
如上述管控设备,可选地,还包括;
第五接收模块,用于接收所述SDN控制器在判断获知业务子网处于免管控开启时段时下发的第一删除指令;
第一删除模块,用于根据所述第一删除指令删除所述阻断入网配置。
如上述管控设备,可选地,还包括:
第六接收模块,用于接收所述SDN控制器在判断获知业务子网处于终端自发现关闭状态下下发的第二删除指令;
第二删除模块,用于根据所述第二删除指令删除所述OpenFlow上报流表。
第五方面,本发明实施例提供一种终端准入控制系统,包括:如上所述的SDN控制器和如上所述的管控设备。
本发明实施例提供的终端准入控制方法,物联终端接入网络后通过上送ARP报文至SDN控制器管控,SDN控制器根据物联终端标识进行审批,并向管控设备下发根据合法终端生成的终端接入控制表,管控设备仅根据终端接入控制表进行物联终端的入网控制,从而阻断未审批终端联网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的终端准入控制方法流程示意图;
图2为本发明实施例提供的校园网物联终端准入拓扑示意图;
图3为本发明又一实施例提供的终端准入控制方法流程示意图;
图4为本发明实施例提供的SDN控制器的结构示意图;
图5为本发明实施例提供的管控设备的结构示意图;
图6为本发明实施例提供的终端准入控制系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的终端准入控制方法流程示意图,如图1所示,该方法包括:
步骤S11、接收管控设备转发的来自物联终端的ARP请求报文,所述ARP请求报文携带物联终端的终端标识;
具体地,为了解决现有终端准入过程中新增终端接入上线周期长配置操作复杂的问题,在部署了SDN(Software Defined Network,软件定义网络)控制器的虚拟局域网(Virtual Local Area Network,VLAN)上,通过SDN控制器向各交换设备(包括网关设备和接入设备)下发对应的物联终端准入控制策略,所有的物联终端接入默认拒绝访问网络,在物联终端入网后通过上送报文给SDN控制器管控,呈现对应的接入端口、终端IP、终端MAC、终端类型、操作系统等详情,网络管理人员在SDN控制器端审批后,才允许物联终端正常接入网络。
首先,进行SDN控制器器和交换设备的初始化配置。各个交换设备的初始化过程主要包括:配置SDN控制器的IP(Internet protocol,互联网协议)地址,完成SDN控制器控制软件以及高级组件的安装。在交换设备端配置控制器的IP地址以及管理通道IP地址,使得交换设备到控制器之间管理通路可达,并打开交换设备的远程管理通道,允许NetConf(网络配置)协议连接。其次,在SDN控制器和交换设备之间会建立OpenFlow(开放流)连接握手过程,使得SDN控制器能够在网络中发现交换设备。具体地,SDN控制器和交换设备之间建立TCP(transmissioncontrol protocol,传输控制协议)连接后开始OpenFlow协议交互(OpenFlow协议基于TCP),具体包括:首先双方完成Hello握手,交换双方的OpenFlow协议版本信息,然后控制器发送功能请求(feature request)消息去获取交换设备的设备类型、流表能力、端口形态、数量等信息,从而完成对交换设备的发现过程。
当物联终端通过接入设备的接入端口接入某个VLAN业务网时,物联终端配置静态IP地址和MAC地址之后,会向网关设备发送ARP(地址解析协议,Address ResolutionProtocol)请求报文,请求网关的MAC地址信息,其中ARP请求报文携带物联终端的终端标识,终端标识包括但不限于:物联终端的IP地址、MAC地址和QinQ特性的内外层VLAN信息,其中内层VLAN信息为物联终端接入端口信息,外层VLAN信息为物联终端的所在业务网信息,通过内外层VLAN信息可以快速定位接入物联终端的具体位置。与物联终端直连的接入设备如接入交换机首先收到该ARP请求报文,然后将该ARP请求报文发送至网关设备,网关设备收到ARP请求报文之后,对ARP请求报文进行应答,至此,物联终端就可以联网。为了控制物联终端入网,管控设备在接收到物联终端发送的ARP请求报文之后,将ARP请求报文上送至SDN控制器。SDN控制器接收到ARP请求报文之后,通过解析获取物联终端的IP地址、MAC地址或内外层VLAN信息等终端标识。
步骤S12、根据所述终端标识匹配预设合法终端列表,判断所述物联终端是否为合法终端;
具体地,SDN控制器预先存储预设合法终端列表,合法终端列表可以是“MAC”或“MAC+IP”的形式,合法终端列表可以是网络管理人员审批通过认证的物联终端的IP地址和/或MAC地址,若已经具备合法终端Excel表,则SDN控制器可通过直接导入获取预设合法终端列表。当SDN控制器接收到ARP请求报文之后,对其进行解析,并将ARP请求报文携带的终端标识例如IP地址、MAC地址和内外层VLAN信息与预设合法终端列表进行匹配,判断接入的物联终端是否为合法终端。
步骤S13、若所述物联终端为合法终端,则根据所述物联终端的终端标识,生成终端接入控制表;
具体地,若物联终端的IP地址、MAC地址或内外层VLAN信息匹配预设合法终端列表,则物联终端为合法终端,根据物联终端的终端标识,生成终端接入控制表,如果有新增合法终端,则在终端接入控制表中添加新的终端标识记录。
步骤S14、若所述物联终端为非合法终端,则将所述物联终端的终端标识发送至待审批列表,并在所述物联终端审批通过后,根据所述物联终端的终端标识,生成终端接入控制表;
具体地,如果物联终端的终端标识,例如IP地址、MAC地址或内外层VLAN信息与预设合法终端列表不匹配,则物联终端为非合法终端,需要进行审批,此时SDN控制器将物联终端的终端标识发送至待审批列表,并在SDN控制器的可视化界面中显示,同时可视化界面中还可以呈现整网的IP分配情况及对应的终端信息。管理人员在SDN控制器可视化界面上就可直观地查看到待审批物联终端的终端标识以及整网信息,与手动查找端口、MAC地址等信息相比,简化了传统收集终端MAC地址的过程,降低了人为原因的错误配置、漏配置导致的网络故障问题。管理人员在SDN控制器界面对物联终端进行审批,若审批通过,SDN控制器根据物联终端的终端标识,生成终端接入控制表,若审批未通过,SDN控制器则不做任何处理。这样,终端接入控制表中的终端标识全部是经过审批的合法终端的信息。
步骤S15、将所述终端接入控制表发送至所述管控设备,以供所述管控设备根据所述终端接入控制表控制物联终端入网。
具体地,SDN控制器将终端接入控制表发送至管控设备,管控设备接收到终端接入控制表之后,根据终端接入控制表中存在的终端标识进行入网控制,即只有在终端接入控制表中的物联终端接入网时,才会允许该物联终端联网,其他物联终端禁止联网,以阻断未审批终端联网。
本发明实施例提供的终端准入控制方法,物联终端接入网络后通过上送ARP报文至SDN控制器管控,SDN控制器根据物联终端标识进行审批,并向管控设备下发根据合法终端生成的终端接入控制表,管控设备仅根据终端接入控制表进行物联终端的入网控制,从而阻断未审批终端联网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
在上述实施例的基础上,进一步地,该方法还包括:
设置业务网中每个业务子网的管控状态,其中,所述管控状态包括:管控开启状态和管控关闭状态;
若判断获知业务子网的管控状态为管控开启状态,则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置;
相应地,所述接收管控设备转发的来自物联终端的ARP请求报文,包括:
接收管控设备根据所述OpenFlow上报流表转发的来自物联终端的ARP请求报文。
具体地,SDN控制器在物联终端接入网络之前,按物理区域规划多个SuperVLAN业务网以及SubVLAN业务子网,例如规划1000为SuperVLAN业务网,具体指教学楼,而教学楼包括很多个楼栋或楼层,每个楼栋或楼层划为SubVLAN业务子网,例如有10楼栋或楼层,分别是VLAN100-VLAN109,即SuperVLAN=1000的业务网,关联的SubVLAN范围为[100,109],VLAN划分或区域划分可以通过预先规划后,然后在SDN控制器上配置,即可在核心设备上生成具体的SuperVLAN和SubVLAN配置。图2为本发明实施例提供的校园网物联终端准入拓扑示意图,如图2所示,设置A区域为VLAN100,B区域为VLAN101,之后在SDN控制器上创建业务网的网关设备,例如通过新增或导入指定模板方式为业务网添加网关设备,如图2所示,SDN控制器指定某个核心交换机为VLAN101的网关设备,指定另一个核心交换机为VLAN100的网关设备,然后关联业务网和网关设备,开启SuperVLAN业务网策略随行功能,策略随行功能是指,用户访问权限策略可以随用户位置迁移跟随,例如用户A从校区1迁移到校区2,能访问的服务区权限不变。之后SDN控制器规划物联终端的SubVLAN业务子网,为业务子网配置静态IP地址池,如图2所示,配置VLAN100的静态IP地址池为:192.168.1.0/24,配置VLAN101的静态IP地址池为:192.168.2.0/24,然后导入预设合法终端列表。
之后,SDN控制器为每个业务子网设置管控状态,包括管控开启状态和管控关闭状态,在管控开启状态下,业务子网接入的物联终端需要匹配终端接入控制表才可以联网,在管控关闭状态下,业务子网接入的物联终端可以直接联网。例如设置VLAN100为管控开启状态,设置VLAN101为管控关闭状态,VLAN100下的物联终端1、物联终端2和物联终端3需要匹配终端接入控制表之后才能连入VLAN100网络,而在VLAN101下的物联终端4、物联终端5和物联终端6可以直接联网,这样,对于安全系数高的业务子网,可以直接放行接入的物联终端,减少了管理人员的审批工作量。
之后,SDN控制器为管控状态为管控开启状态的业务子网的管控设备通过OpenFlow通道下发OpenFlow上报流表,通过NetConf通道向管控设备下发阻断入网配置,OpenFlow上报流表用于指示管控设备将基于业务子网的ARP请求报文上送SDN控制器,同时阻断入网配置用于指示管控设备阻断所有物联终端联网。
管控设备收到OpenFlow上报流表和阻断入网配置之后,在本地存储。管控设备接收到物联终端发送的ARP请求报文之后,首先查找本地是否存储有终端接入控制表,若有,则根据终端接入控制表判断物联终端是否为合法终端,如果是合法终端,直接放行,如果不是合法终端,则根据OpenFlow上报流表将物联终端发送的ARP请求报文上报至SDN控制器,同时,根据阻断入网配置暂时禁止该物联终端入网,只有当终端接入控制表存在该物联终端的终端标识时,才放行该物联终端,使其联网。如果本地没有存储终端接入控制表,则根据阻断入网配置阻止物联终端入网,并根据OpenFlow上报流表将物联终端发送的ARP请求报文上报至SDN控制器,在接收到终端接入控制表之后,根据终端接入控制表判断是否允许物联终端联网。
本发明实施例提供的终端准入控制方法,通过SDN控制器向管控开启状态对应的管控设备下发OpenFlow上报流表和阻断入网配置,控制管控设备在物联终端接入时默认拒绝访问网络,入网后通过上送ARP报文至SDN控制器管控,并且仅终端接入控制表表进行物联终端的入网控制,从而在管控设备上阻断未审批终端联网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
在上述各实施例的基础上,进一步地,所述管控开启状态包括:免管控开启时段;
相应地,所述方法还包括:
若判断获知所述物联终端对应的业务子网处于免管控开启时段,则向所述业务子网对应的管控设备发送删除所述阻断入网配置的第一删除指令;
相应地,所述接收管控设备转发的来自物联终端的ARP请求报文之后,还包括:
若判断获知所述物联终端对应的业务子网处于免管控开启时段,则根据所述物联终端的终端标识,生成终端接入控制表;
相应地,所述根据所述终端标识匹配预设合法终端列表,判断所述物联终端是否为合法终端,包括:
若判断获知所述物联终端对应的业务子网不处于免管控开启时段,则根据所述终端标识匹配预设合法终端列表,判断所述物联终端是否为合法终端。
在实际应用中,还可以为业务子网设置免管控时段,当业务子网开启免管控,且处于免管控时段时,默认所有的接入终端都是合法终端。具体地,业务子网的管控开启状态还可以细分为免管控开启状态和免管控关闭状态,免管控开启状态又包括免管控开启时段,当SDN控制器收到管控设备发送的ARP请求报文之后,SDN控制器解析ARP请求报文,并记录物联终端的终端,同时记录终端所在管控设备位置。SDN控制器根据终端标识判断对应的业务子网是否处于管控开启状态,若是则继续判断是否处于免管控开启时段,若处于免管控开启时段则SDN控制器自动生成终端接入控制表并发送到对应管控设备上,并向管控设备发送第一删除指令,第一删除指令用于指示管控设备删除阻断入网配置,即在免管控开启时段,直接允许所有物联终端入网;若业务子网关闭免管控或者开启免管控但不处于免管控开启时段,则SDN控制器首先核对该终端是否为合法终端,如果是则生成终端接入控制表并发送到对应的管控设备上,如果不是则出现在控制器的待审批列表中,管理人员审批通过后,生成终端接入控制表并设置到管控设备上,完成该终端的入网审批,同时控制器IP管理能够可视化呈现整网的IP分配情况及对应的终端信息。在免管控开启时段,管控设备可以直接对所有物联终端放行使其联网。
本发明实施例提供的终端准入控制方法,通过SDN控制器向免管控开启时段的管控设备下发删除阻断入网配置指令,控制管控设备在物联终端接入时直接允许访问网络,入网后通过上送ARP报文至SDN控制器管控,并直接根据物联终端的ARP请求报文生成终端接入控制表,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本,并且通过设置免管控开启时段,降低了终端审批的工作量,提高了审批效率。
在上述各实施例的基础上,进一步地,该方法还包括:
设置每个业务子网的终端自发现状态,所述终端自发现状态包括终端自发现开启状态和终端自发现关闭状态;
相应地,所述若判断获知业务子网的管控状态为管控开启状态,则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置,包括:
若判断获知所述业务子网的管控状态为管控开启状态并且所述业务子网的终端自发现状态为终端自发现开启状态,则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置;
否则,向所述业务子网对应的管控设备发送删除所述OpenFlow上报流表的第二删除指令。
在实际应用中,还可以为业务子网设置终端自发现状态,当业务子网处于终端自发现开启状态时,管控设备需要向SDN控制器上送ARP请求报文。当业务子网处于终端自发现关闭状态时,管控管控设备不再向SDN控制器上送ARP请求报文。
具体地,业务子网处于终端自发现开启状态时,SDN控制器向管控设备下发OpenFlow上报流表和阻断入网配置,OpenFlow上报流表用于指示管控设备将基于业务子网的ARP请求报文上送控制器。当业务子网处于终端自发现关闭状态或者管控关闭状态时,SDN控制器向管控设备发送第二删除指令,用于删除OpenFlow上报流表,即管控设备不再向SDN控制器上送ARP请求报文。当业务子网开启免管控,在免管控起始时间到时SDN控制器下发删除阻断入网配置的指令,当免管控时间结束或者关闭免管控时,下发阻断入网配置。
本发明实施例提供的终端准入控制方法,通过SDN控制器向终端自发现关闭状态的管控设备下发删除OpenFlow上报流表的指令,控制管控设备在物联终端接入时直接允许访问网络,不再上送ARP报文,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本,并且通过设置终端自发现状态,降低了终端审批的工作量,提高了审批效率。
在上述各实施例的基础上,进一步地,,所述管控设备包括:业务网对应的网关设备;
相应地,所述向所述业务子网对应的管控设备发送阻断入网配置,包括:
向所述业务子网对应的网关设备发送关闭ARP学习配置,所述关闭ARP学习配置用于指示所述网关设备关闭与所述业务子网对应的SVI端口的ARP学习功能,并删除与所述业务子网对应的根据ARP请求报文学习的动态ARP表;
相应地,所述将所述终端接入控制表发送至所述管控设备,以供所述管控设备根据所述终端接入控制表控制物联终端入网,包括:
将所述终端接入控制表发送至所述网关设备,以供所述网关设备根据所述终端接入控制表应答所述物联终端发送的ARP请求。
具体地,SDN控制器可以设置管控模式,管控模式可以包括:网关模式,网关模式是指管控策略生效在网关设备上,管控设备为业务网网关设备。在网关模式下,SDN控制器向处于管控开启状态的业务子网对应的网关设备下发关闭ARP学习配置,网关设备接收到该配置之后,关闭与该业务子网对应的SVI端口(Switch Virtual Interface,交换机虚拟接口)的ARP学习功能,删除与该业务子网对应的根据ARP请求报文学习的动态ARP表。此时,由于网关设备不存在ARP表,因此无法对物联终端的ARP请求报文进行应答,从而阻止物联终端入网。
之后,SDN控制器向处于管控开启状态且处于终端自发现开启状态的业务子网对应的网关设备下发OpenFlow上报流表,其中,OpenFlow上报流表的匹配(Match)表项为业务子网对应的IP网段,动作(Action)表项为上送SDN控制器。当网关设备接收到物联终端发送的ARP请求报文时,匹配OpenFlow上报流表中的Match表项,发现命中Match表项,则根据Action表项将ARP请求报文上送至SDN控制器。
SDN控制器收到ARP请求报文之后,判断对应的业务子网是否处于免管控开启时段,若是,则直接根据ARP请求报文携带的终端标识和网关设备的ARP信息生成接入控制表,即静态ARP表,若对应的业务子网不处于免管控开启时段,则在确定物联终端为合法终端之后,根据ARP请求报文携带的终端标识和网关设备的ARP信息生成静态ARP表,将静态ARP表发送至网关设备。
网关设备根据静态ARP表对物联终端发送的ARP请求进行应答,由于静态ARP表中仅包含免管控开启时段的终端信息和合法终端信息,因此,通过静态ARP表进行应答,组织了未经审批的物联终端入网。
本发明实施例提供的终端准入控制方法,物联终端接入时关闭网关的ARP学习功能,入网后通过上送ARP报文至SDN控制器管控,呈现对应的终端表示进行审批,并向业务网的网关设备下发根据合法终端生成的静态ARP表,网关设备仅根据静态ARP表进行物联终端的ARP请求应答,从而阻断未审批终端联网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
在上述各实施例的基础上,进一步地,该方法还包括:
删除所述业务网对应的网关设备;
若判断获知所述业务网中至少一个业务子网的管控状态为管控开启状态,则生成删除网关设备失败的告警信息。
否则,生成删除网关设备失败的告警信息。
具体地,业务网以VLAN划分,无法同时归属于两个网关设备上。因此当此业务网中已经关联了一个网关设备,则不允许再加入一个网关设备,同时在管控功能开启时不允许删除已关联的网关设备。
如果删除关联的网关设备,则SDN控制器首先判断业务网是否为管控开启状态,即业务网上是否至少有一个业务子网的管控状态为管控开启状态,若是,则生成删除网关设备失败的告警信息。
若所有业务子网均处于管控关闭状态,则可以删除网关设备。
具体地,当业务子网由管控开启状态转变成管控关闭状态时,SDN控制器首先判断业务子网是否处于免管控开启时段,若不处于免管控开启时段,则向业务子网对应的网关设备发送开启ARP学习配置,用于指示网关设备开启与该业务子网对应的SVI端口的ARP学习功能;
之后SDN控制器判断业务子网是否处于终端自发现开启状态,若是,则SDN控制器向业务子网对应的网关设备发送删除OpenFlow上报流表的第二删除指令。
本发明实施例提供的终端准入控制方法,通过SDN控制器删除管控关闭状态下业务网的网关设备,控制网关设备在物联终端接入时直接允许访问网络,不再上送ARP报文,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
在上述各实施例的基础上,进一步地,该方法还包括:
为所述业务网添加对应的网关设备;
若判断获知所述业务网中至少一个业务子网的管控状态为管控开启状态或所述业务网对应的网关设备的数量为1,则生成添加网关设备失败的告警信息。
具体地,对于业务网变化,网关模式同样需要一起跟随变化。当一个业务网关设备加入到业务网,若业务网中所有的业务子网的管控未开启,则无任何变化,若业务网中至少有一个业务子网已经开启管控,说明已有一台业务网关设备了,不允许加入第二台。业务网当前以VLAN划分,无法同时归属于两个网关设备上。因此当此业务网中已经关联了一个网关设备,则不允许再加入一个网关设备
如果在SDN控制器上为业务网添加网关设备,则SDN控制器首先判断业务网中是否所有的业务子网均为为管控关闭状态,若是,则继续判断业务网是否已经关联了一个网关设备,若未关联网关设备,则为该业务网添加网关设备,否则生成添加网关设备失败的告警信息。
在实际应用中,物联终端入网后,当其ARP表项老化后,需要继续发送ARP请求报文请求网关MAC,对应网关设备收到ARP请求报文之后,查找静态ARP表,命中MAC表项,则直接进行应答,同时也命中OpenFlow上报流表,则上送SDN控制器,SDN控制器收到ARP报文判断该终端MAC已在合法终端列表且IP未变化,则不处理。若IP发生变化,则重新进入待审批列表,管理员审批通过后则更新对应静态ARP表并发送到网关设备上,完成该终端的IP变化入网审批。
本发明实施例提供的终端准入控制方法,通过SDN控制器向管控关闭状态下的业务网添加网关设备,控制网关设备在物联终端接入时关闭学习ARP功能,向SDN控制器上送ARP请求报文,并根据静态ARP表控制终端入网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
在上述各实施例的基础上,进一步地,所述管控设备包括:业务网对应的接入设备;
相应地,所述方法还包括:为每个所述接入设备设置管控端口和免管控端口;
向每个所述管控端口发送端口安全配置;
向每个所述免管控端口发送报文入网转发流表;
相应地,所述向所述业务子网对应的管控设备发送阻断入网配置,包括:
向所述业务子网对应的接入设备发送IP报文丢弃流表,其中,所述IP报文丢弃流表的优先级小于所述端口安全配置的优先级,并且,所述IP报文丢弃流表的优先级小于所述报文入网转发流表;
相应地,所述将所述终端接入控制表发送至所述管控设备,以供所述管控设备根据所述终端接入控制表控制物联终端入网,包括:
将所述终端接入控制表发送至所述接入设备中的所有管控端口,以供所述管控端口根据所述终端接入控制表更新所述端口安全配置,并根据所述端口安全配置控制物联终端入网。
具体地,SDN控制器可以设置管控模式,管控模式可以包括:接入模式,接入模式是指管控策略生效在接入设备上,管控设备为业务网中的接入设备。在接入模式下,SDN控制器还需要为每个接入设备设置管控端口和免管控端口,之后SDN控制器向处于管控状态下的业务子网对应的管控端口发送端口安全配置,端口安全配置用于指示管控端口仅允许符合端口安全的物联终端入网,阻止其他物联终端入网,在初始状态下,端口安全配置中允许入网的终端为空。然后SDN控制器向免管控端口发送报文入网转发流表,报文入网转发流表即传统转发流表,传统转发是指基本的二、三层转发过程。
之后,SDN控制器向处于管控开启状态且不处于免管控开启时段的接入设备下发IP报文丢弃流表,用于指示接入设备丢弃基于业务网的IP报文,从而阻止物联终端入网,具体地,为了避免IP报文丢弃流表与端口安全配置和报文入网转发流表的冲突,为IP报文丢弃流表、端口安全配置和报文入网转发流表设置不同的优先级,其中IP报文丢弃流表的优先级最低,这样,在既命中端口安全配置又命中IP报文丢弃流表的情况下,管控端口根据端口安全配置放行合法终端,在既命中报文入网转发流表又命中IP报文丢弃流表的情况下,免管控端口根据报文入网转发流表直接放行所有物联终端。SDN控制器之后向处于终端自发现开启状态的业务子网对应的接入设备发送OpenFlow上报流表。
当物联终端通过接入设备的接入端口接入某个VLAN业务网时,物联终端配置静态IP地址和MAC地址之后,会向网关设备发送ARP请求报文,请求网关的MAC地址信息,其中ARP请求报文携带物联终端的IP地址、MAC地址和QinQ特性的内外层VLAN信息,通过内外层VLAN信息可以快速定位接入物联终端的具体位置。与物联终端直连的接入设备首先收到该ARP请求报文,与直接将该ARP请求报文发送至网关设备不同,接入设备根据OpenFlow上报流表将ARP请求报文上送至SDN控制器。SDN控制器接收到ARP请求报文之后,通过解析获取物联终端的IP地址、MAC地址和内外层VLAN信息,然后判断对应的业务子网是否处于免管控开启时段,若是,则直接生成终端接入控制表,否则,将物联终端的终端标识与合法终端进行匹配,若是合法终端,则生成终端接入控制表,若匹配失败,则将物联终端的终端标识发送至待审批列表,并在审批通过之后,生成终端接入控制表,将终端接入控制表发送至管控端口。
管控端口接收到终端接入控制表之后,根据终端接入控制表更新端口安全配置,将终端接入控制表中的终端设置为允许访问网络的终端,从而根据端口安全配置控制物联终端入网。
本发明实施例提供的终端准入控制方法,物联终端接入时默认拒绝访问网络,入网后通过上送ARP报文至SDN控制器管控,呈现对应的终端IP地址、MAC地址和内外层VLAN信息进行审批,并向业务网的接入设备下发根据合法终端生成的终端接入控制表,接入端口根据终端接入控制表放行合法终端的IP报文,丢弃非合法终端的IP报文,从而阻断未审批终端联网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
在上述各实施例的基础上,进一步地,该方法还包括:
若判断获知所述业务子网的管控状态为管控关闭状态,则向所述管控端口下发删除端口安全配置的第三删除指令;
若判断获知所述业务子网处于终端自发现开启状态,则向所述接入设备发送删除所述OpenFlow上报流表的第二删除指令;
若判断获知所述业务子网不处于免管控开启时段,则向所述接入设备发送删除所述IP报文丢弃流表的第一删除指令。
具体地,当业务子网的管控状态由管控开启状态转换为管控关闭状态时,SDN控制器向管控端口发送第三删除指令,用于指示管控端口删除端口安全配置,之后当SDN控制器判断业务子网是否处于终端自发现开启状态,若是,则向接入设备发送第二删除指令,第二删除指令用于指示接入设备删除OpenFlow上报流表,之后SDN控制器判断业务子网是否处于免管控开启时段,若不处于免管控开启时段,则向接入设备发送第一删除指令,第一删除指令用于指示接入设备删除IP报文丢弃流表。
本发明实施例提供的终端准入控制方法,物联终端在关闭业务子网管控时,将接入设备对应的设置恢复为正常状态,从而允许所有物联终端入网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
在上述各实施例的基础上,进一步地,所述方法还包括:
删除接入设备对应的免管控端口,将所述免管控端口更新为管控端口;
向更新后的管控端口发送端口安全配置;
向所述更新后的管控端口下发删除所述报文入网转发流表的第四删除指令。
具体地,当一个接入设备已经在业务网中,若业务网管控未开启,则无任何变化;若业务网已经开启管控,如果免管控端口被删除,转为管控端口,则除了下发端口安全配置外和还需要下发此业务网对应的OpenFlow流表。当新增免管控口时,则除了需要删除此端口的端口安全配置,同时需要下发匹配端口的报文入网转发流表,该流表优先级大于IP报文丢弃流表。若业务网关闭管控时,则需要根据免管控口计算出管控口,删除此业务网对应的流表。
具体地,当业务子网处于管控开启状态时,SDN控制器将免管控端口更改为管控端口,变成管控端口之后,需要向该端口发送端口安全配置,并判断业务子网是否处于终端自发现开启状态,若是,则向更新后的管控端口发送OpenFlow上报流表,指示管控端口上送ARP请求报文,之后,判断业务子网是否处于免管控开启时段,若不处于免管控开启时段,则向更新后的管控端口发送第四删除指令,第四删除指令用于指示管控端口删除报文入网转发流表。
本发明实施例提供的终端准入控制方法,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
在上述各实施例的基础上,进一步地,所述方法还包括:
删除接入设备对应的管控端口,将所述管控端口更新为免管控端口;
向更新后的免管控端口下发删除所述端口安全配置的第三删除指令;
向所述更新后的免管控端口下发报文入网转发流表。
具体地,当业务网处于管控关闭状态时,SDN控制器可以将管控端口更改为免管控端口,变成免管控端口之后,需要向该端口发送删除端口安全配置的第三删除指令,之后向更新后的免管控端口发送报文入网转发流表,允许所有通过免管控端口入网的物联终端联网。
当一个接入设备加入到业务子网,若业务子网管控未开启,则无任何变化;若业务子网已经开启管控,而此时如果此接入设备还未配置免管控端口和管控端口,那么对应的OpenFlow上报流表不会下发到接入设备上。当免管控端口已配置或者后续完成免管控口的配置时,需要触发向接入设备的管控端口下发对应的端口安全配置。
本发明实施例提供的终端准入控制方法,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
图3为本发明又一实施例提供的终端准入控制方法流程示意图,如图3所示,该方法包括:
步骤S31、接收来自物联终端的ARP请求报文,所述ARP请求报文携带物联终端的终端标识;
具体地,当物联终端通过接入设备的接入端口接入某个VLAN业务网时,物联终端配置静态IP地址和MAC地址之后,会向网关设备发送ARP请求报文,请求网关的MAC地址信息,其中ARP请求报文携带物联终端的终端标识,例如IP地址、MAC地址和QinQ特性的内外层VLAN信息,管控设备接收来自物联终端的ARP请求报文。
步骤S32、将所述ARP请求报文转发至SDN控制器,以供所述SDN控制器在判断获知所述物联终端为合法终端时,根据所述物联终端的终端标识,生成终端接入控制表,或在判断获知所述物联终端为非合法终端时,将所述物联终端的终端标识发送至待审批列表,并在所述物联终端审批通过后,根据所述终端标识生成终端接入控制表;
具体地,管控设备将ARP请求报文上送至SDN控制器。SDN控制器接收到ARP请求报文之后,通过解析获取物联终端的IP地址、MAC地址和内外层VLAN信息,并将ARP请求报文携带的IP地址、MAC地址和内外层VLAN信息与预设合法终端列表进行匹配,判断接入的物联终端是否为合法终端。若物联终端为合法终端,根据物联终端的IP地址、MAC地址和内外层VLAN信息,生成终端接入控制表,若物联终端为非合法终端,SDN控制器将物联终端的IP地址、MAC地址和内外层VLAN信息发送至待审批列表,并在审批通过后生成终端接入控制表。
步骤S33、接收所述SDN控制器发送的终端接入控制表;
步骤S34、根据所述终端接入控制表控制物联终端入网。
具体地,SDN控制器将终端接入控制表发送至管控设备,管控设备接收到终端接入控制表之后,只有在终端接入控制表中的物联终端入网时,才会放行,其他物联终端禁止联网,以阻断未审批终端联网。
本发明实施例提供的终端准入控制方法,物联终端接入时默认拒绝访问网络,入网后通过上送ARP报文至SDN控制器管控,呈现对应的终端IP地址、MAC地址和内外层VLAN信息进行审批,并向管控设备下发根据合法终端生成的终端接入控制表,管控设备仅根据终端接入控制表控制物联终端入网,从而阻断未审批终端联网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
在上述实施例的基础上,进一步地,该方法还包括:
接收所述SDN控制器在判断获知业务子网的管控状态为管控开启状态时下发的OpenFlow上报流表和阻断入网配置;
根据所述阻断入网配置阻止物联终端入网;
相应地,所述将所述ARP请求报文转发至SDN控制器,包括:
根据所述OpenFlow上报流表将所述ARP请求报文转发至SDN控制器。
具体地,SDN控制器为业务网中每个业务子网设置管控状态,包括管控开启状态和管控关闭状态,在管控开启状态下,业务子网接入的物联终端需要匹配终端接入控制表才可以联网,在管控关闭状态下,业务子网接入的物联终端可以直接联网。之后,SDN控制器为管控状态为管控开启状态的业务子网的管控设备通过OpenFlow通道下发OpenFlow上报流表,通过NetConf通道向网关设备下发阻断入网配置,OpenFlow上报流表用于指示管控设备将基于业务子网的ARP请求报文按传统转发模式转发ARP请求报文,传统转发模式是指基本的二、三层转发过程,并复制一份ARP请求报文上送SDN控制器,同时设置管控设备在初始状态下,阻止所有物联终端入网。
管控设备收到OpenFlow上报流表和阻断入网配置之后,在本地存储,并根据阻断入网配置阻止物联终端入网。
物联终端配置静态IP地址,接入业务网网络,发起ARP请求报文请求网关MAC地址,其中ARP报文请求报文携带QinQ特性的内外层VLAN信息,对应管控设备接收到入网终端的ARP请求报文,管控设备查本地存储的终端接入控制表,发现没有对应的终端标识,继续查本地存储OpenFlow流表规则,确定命中OpenFlow上报流表,则将ARP请求报文通过OpenFlow通道上送到SDN控制器。
本发明实施例提供的终端准入控制方法,通过SDN控制器向管控开启状态对应的管控设备下发OpenFlow上报流表和阻断入网配置,控制管控设备在物联终端接入时默认拒绝访问网络,入网后通过上送ARP报文至SDN控制器管控,并且仅根据终端接入控制表控制物联终端入网,从而在管控设备上阻断未审批终端联网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
在上述各实施例的基础上,进一步地,该方法还包括:
接收所述SDN控制器在判断获知业务子网处于免管控开启时段时下发的第二删除指令;
根据所述第二删除指令删除所述阻断入网配置。
具体地,SDN控制器还可以为业务子网设置免管控时段,当业务子网开启免管控,且处于免管控时段时,默认所有的接入终端都是合法终端。当SDN控制器收到管控设备发送的ARP请求报文之后,SDN控制器解析ARP请求报文,并记录物联终端的IP地址、MAC地址和内外层VLAN信息。SDN控制器根据IP地址判断对应的业务子网是否处于管控开启状态,若是则继续判断是否处于免管控开启时段,若处于免管控开启时段则SDN控制器自动生成终端接入控制表并发送到对应管控设备上,并向管控设备发送第一删除指令,第一删除指令用于指示管控设备删除阻断入网配置,从而允许所有物联终端入网;若业务子网关闭免管控或者开启免管控但不处于免管控开启时段,则SDN控制器首先核对该终端是否为合法终端,如果是则生成终端接入控制表并发送到对应的管控设备上,如果不是则出现在控制器的待审批列表中,管理人员审批通过后,生成终端接入控制表并设置到管控设备上,完成该终端的入网审批,同时控制器IP管理能够可视化呈现整网的IP分配情况及对应的终端信息。
本发明实施例提供的终端准入控制方法,通过SDN控制器向免管控开启时段的管控设备下发删除阻断入网配置的指令,控制管控设备在物联终端接入时直接允许访问网络,入网后通过上送ARP报文至SDN控制器管控,并直接根据物联终端的ARP请求报文生成终端接入控制表,从而在管控设备上阻断未审批终端联网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本,并且通过设置免管控开启时段,降低了终端审批的工作量,提高了审批效率。
在上述各实施例的基础上,进一步地,该方法还包括:
接收所述SDN控制器在判断获知业务子网处于终端自发现关闭状态下下发的第二删除指令;
根据所述第二删除指令删除所述OpenFlow上报流表。
在实际应用中,SDN控制器还可以为业务子网设置终端自发现状态,当业务子网处于终端自发现开启状态时,管控设备需要向SDN控制器上报ARP请求报文。当业务子网处于终端自发现关闭状态时,管控设备不再向SDN控制器上送ARP请求报文。
具体地,业务子网处于终端自发现开启状态时,SDN控制器向管控设备下发OpenFlow上报流表,OpenFlow上报流表用于指示管控设备将基于业务子网的ARP请求报文上送控制器并按传统转发模式转发ARP请求报文。当业务子网处于终端自发现关闭状态时,SDN控制器向管控设备发送第二删除指令,第二删除指令用于指示管控设备删除OpenFlow上报流表,即管控设备不再向SDN控制器上送ARP请求报文。
本发明实施例提供的终端准入控制方法,通过SDN控制器向终端自发现关闭状态的管控设备下发删除OpenFlow上报流表的指令,控制管控设备在物联终端接入时直接允许访问网络,不再上送ARP报文,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本,并且通过设置终端自发现状态,降低了终端审批的工作量,提高了审批效率。
图4为本发明实施例提供的SDN控制器的结构示意图,如图4所示,该SDN控制器包括:第一接收模块41、判断模块42、第一控制表生成模块43、第二控制表生成模块44和第一发送模块45,其中:
第一接收模块41用于接收管控设备转发的来自物联终端的ARP请求报文,所述ARP请求报文携带物联终端的终端标识;判断模块42用于根据所述终端标识匹配预设合法终端列表,判断所述物联终端是否为合法终端;第一控制表生成模块43用于若所述物联终端为合法终端,则根据所述物联终端的终端标识,生成终端接入控制表;第二控制表生成模块44用于若所述物联终端为非合法终端,则将所述物联终端的终端标识发送至待审批列表,并在所述物联终端审批通过后,根据所述物联终端的终端标识,生成终端接入控制表;第一发送模块45用于将所述终端接入控制表发送至所述管控设备,以供所述管控设备根据所述终端接入控制表控制物联终端入网。
具体地,第一接收模块41接收管控设备发送ARP请求报文之后,通过解析获取物联终端的IP地址、MAC地址和内外层VLAN信息,判断模块42将ARP请求报文携带的IP地址、MAC地址和内外层VLAN信息与预设合法终端列表进行匹配,判断接入的物联终端是否为合法终端,若物联终端为合法终端,第一控制表生成模块43根据物联终端的IP地址、MAC地址和内外层VLAN信息,生成终端接入控制表。若物联终端为非合法终端,第二控制表生成模块44将物联终端的IP地址、MAC地址和内外层VLAN信息发送至待审批列表,若审批通过,第二控制表生成模块44根据物联终端的IP地址、MAC地址和内外层VLAN信息,生成终端接入控制,若审批未通过,第二控制表生成模块44则不做任何处理。这样,终端接入控制表中的终端标识全部是经过审批的合法终端的信息。第一发送模块45将终端接入控制表发送至管控设备,管控设备接收到终端接入控制表之后,根据终端接入控制放行合法终端入网请求,阻止其他物联终端联网,以阻断未审批终端联网。本发明实施例提供的装置,用于实现上述方法,其功能具体参照上述方法实施例,此处不再赘述。
本发明实施例提供的SDN控制器,物联终端接入时默认拒绝访问网络,入网后通过上送ARP报文至SDN控制器管控,呈现对应的终端IP地址、MAC地址和内外层VLAN信息进行审批,并向业务子网的管控设备下发根据合法终端生成的静态ARP表,管控设备仅根据静态ARP表进行物联终端的ARP请求应答,从而阻断未审批终端联网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
在上述实施例的基础上,进一步地,该SDN控制器还包括:
管控设置模块,用于设置业务网中每个业务子网的管控状态,其中,所述管控状态包括:管控开启状态和管控关闭状态;
第二发送模块,用于若判断获知业务子网的管控状态为管控开启状态,则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置;
相应地,所述第一接收模块具体用于:
接收管控设备根据所述OpenFlow上报流表转发的来自物联终端的ARP请求报文。
具体地,管控设置模块为每个业务子网设置管控状态,包括管控开启状态和管控关闭状态,在管控开启状态下,业务子网接入的物联终端需要匹配终端接入控制表才可以联网,在管控关闭状态下,业务子网接入的物联终端可以直接联网。
之后,第二发送模块为管控状态为管控开启状态的业务子网的管控设备通过OpenFlow通道下发OpenFlow上报流表,通过NetConf通道向管控设备下发阻断入网配置,OpenFlow上报流表用于指示管控设备将基于业务子网的ARP请求报文上送第一接收模块,同时阻断入网配置用于指示管控设备阻断所有物联终端联网。本发明实施例提供的装置,用于实现上述方法,其功能具体参照上述方法实施例,此处不再赘述。
本发明实施例提供的SDN控制器,通过向管控开启状态对应的管控设备下发OpenFlow上报流表和阻断入网配置,控制管控设备在物联终端接入时默认拒绝访问网络,入网后通过上送ARP报文至SDN控制器管控,并且仅终端接入控制表表进行物联终端的入网控制,从而在管控设备上阻断未审批终端联网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
在上述各实施例的基础上,进一步地,所述管控开启状态包括:免管控开启时段;
相应地,所述SDN控制器还包括:
免管控处理模块,用于若判断获知所述物联终端对应的业务子网处于免管控开启时段,则向所述业务子网对应的管控设备发送删除所述阻断入网配置的第一删除指令;
相应地,所述SDN控制器还包括:
第三控制表生成模块,用于若判断获知所述物联终端对应的业务子网处于免管控开启时段,则根据所述物联终端的终端标识,生成终端接入控制表;
相应地,所述判断模块具体用于:
若判断获知所述物联终端对应的业务子网不处于免管控开启时段,则根据所述终端标识匹配预设合法终端列表,判断所述物联终端是否为合法终端。
具体地,还可以为业务子网设置免管控时段,当业务子网开启免管控,且处于免管控时段时,默认所有的接入终端都是合法终端。具体地,业务子网的管控开启状态还可以细分为免管控开启状态和免管控关闭状态,免管控开启状态又包括免管控开启时段,当第一接收模块收到管控设备发送的ARP请求报文之后,根据终端标识判断对应的业务子网是否处于管控开启状态,若是则免管控处理模块判断是否处于免管控开启时段,若处于免管控开启时段,则免管控处理模块向管控设备发送第一删除指令,第一删除指令用于指示管控设备删除阻断入网配置,即在免管控开启时段,直接允许所有物联终端入网;若业务子网关闭免管控或者开启免管控但不处于免管控开启时段,则判断模块首先核对该终端是否为合法终端,如果是则生成终端接入控制表并发送到对应的管控设备上,如果不是则出现在控制器的待审批列表中,管理人员审批通过后,生成终端接入控制表并设置到管控设备上,完成该终端的入网审批,同时控制器IP管理能够可视化呈现整网的IP分配情况及对应的终端信息。在免管控开启时段,管控设备可以直接对所有物联终端放行使其联网。本发明实施例提供的装置,用于实现上述方法,其功能具体参照上述方法实施例,此处不再赘述。
本发明实施例提供的SDN控制器,通过向免管控开启时段的管控设备下发删除阻断入网配置指令,控制管控设备在物联终端接入时直接允许访问网络,入网后通过上送ARP报文至SDN控制器管控,并直接根据物联终端的ARP请求报文生成终端接入控制表,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本,并且通过设置免管控开启时段,降低了终端审批的工作量,提高了审批效率。
在上述各实施例的基础上,进一步地,所述SDN控制还包括:
自发现设置模块,用于设置每个业务子网的终端自发现状态,所述终端自发现状态包括终端自发现开启状态和终端自发现关闭状态;
相应地,所述第二发送模块具体用于:
若判断获知所述业务子网的管控状态为管控开启状态并且所述业务子网的终端自发现状态为终端自发现开启状态,则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置;
否则,向所述业务子网对应的管控设备发送删除所述OpenFlow上报流表的第二删除指令。
具体地,自发现设置模块为业务子网设置终端自发现状态,当业务子网处于终端自发现开启状态时,管控设备需要向第一接收模块上送ARP请求报文。当业务子网处于终端自发现关闭状态时,管控管控设备不再向第一接收模块上送ARP请求报文。
业务子网处于终端自发现开启状态时,第二发送模块向管控设备下发OpenFlow上报流表和阻断入网配置,OpenFlow上报流表用于指示管控设备将基于业务子网的ARP请求报文上送控制器,阻断入网配。当业务子网处于终端自发现关闭状态或者管控关闭状态时,第二发送模块向管控设备发送第二删除指令,用于删除OpenFlow上报流表。本发明实施例提供的装置,用于实现上述方法,其功能具体参照上述方法实施例,此处不再赘述。
本发明实施例提供的SDN控制器,通过向终端自发现关闭状态的管控设备下发删除OpenFlow上报流表的指令,控制管控设备在物联终端接入时直接允许访问网络,不再上送ARP报文,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本,并且通过设置终端自发现状态,降低了终端审批的工作量,提高了审批效率。
图5为本发明实施例提供的管控设备的结构示意图,如图5所示,该网关设备包括:第二接收模块51、上报模块52、第三接收模块53和准入控制模块54,其中:
第二接收模块51用于接收来自物联终端的ARP请求报文,所述ARP请求报文携带物联终端的终端标识;上报模块52用于将所述ARP请求报文转发至SDN控制器,以供所述SDN控制器在判断获知所述物联终端为合法终端时,根据所述物联终端的终端标识,生成终端接入控制表,或在判断获知所述物联终端为非合法终端时,将所述物联终端的终端标识发送至待审批列表,并在所述物联终端审批通过后,根据所述终端标识生成终端接入控制表;第三接收模块53用于接收所述SDN控制器发送的终端接入控制表;准入控制模块54用于根据所述终端接入控制表控制物联终端入网。
具体地,第二接收模块51收到来自物联终端的ARP请求报文。上报模块52将ARP请求报文上送至SDN控制器。SDN控制器接收到ARP请求报文之后,通过解析获取物联终端的IP地址、MAC地址和内外层VLAN信息,并将ARP请求报文携带的IP地址、MAC地址和内外层VLAN信息与预设合法终端列表进行匹配,判断接入的物联终端是否为合法终端。若物联终端为合法终端,根据物联终端的IP地址、MAC地址和内外层VLAN信息,生成终端接入控制表,若物联终端为非合法终端,SDN控制器将物联终端的IP地址、MAC地址和内外层VLAN信息发送至待审批列表,并在审批通过后生成终端接入控制表。第三接收模块53接收到终端接入控制表之后,准入控制模块54根据终端接入控制表放行合法终端入网,以阻断未审批终端联网。本发明实施例提供的装置,用于实现上述方法,其功能具体参照上述方法实施例,此处不再赘述。
本发明实施例提供的管控设备,物联终端接入时默认拒绝访问网络,入网后通过上送ARP报文至SDN控制器管控,呈现对应的终端标识进行审批,并向业务子网的管控设备下发根据合法终端生成的终端接入控制表,管控设备仅根据终端接入控制表控制物联终端入网,从而阻断未审批终端联网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
在上述实施例的基础上,进一步地,所述管控设备还包括:
第四接收模块,用于接收所述SDN控制器在判断获知业务子网的管控状态为管控开启状态时下发的OpenFlow上报流表和阻断入网配置;
禁止入网模块,用于根据所述阻断入网配置阻止物联终端入网;
相应地,所述上报模块具体用于:
根据所述OpenFlow上报流表将所述ARP请求报文转发至SDN控制器。
具体地,SDN控制器为业务网中每个业务子网设置管控状态,包括管控开启状态和管控关闭状态,在管控开启状态下,业务子网接入的物联终端需要匹配终端接入控制表才可以联网,在管控关闭状态下,业务子网接入的物联终端可以直接联网。之后,SDN控制器为管控状态为管控开启状态的第四接收模块通过OpenFlow通道下发OpenFlow上报流表,通过NetConf通道向网关设备下发阻断入网配置,第四接收模块接收到OpenFlow上报流表和阻断入网配置之后,在本地存储,并根据阻断入网配置阻止物联终端入网,并向禁止入网模块发送阻断入网配置。
第二接收模块接收到入网终端的ARP请求报文,查本地存储的终端接入控制表,发现没有对应的终端标识,继续查本地存储OpenFlow流表规则,确定命中OpenFlow上报流表,则上报模块将ARP请求报文通过OpenFlow通道上送到SDN控制器。本发明实施例提供的装置,用于实现上述方法,其功能具体参照上述方法实施例,此处不再赘述。
本发明实施例提供的管控设备,通过SDN控制器向管控开启状态对应的管控设备下发OpenFlow上报流表和阻断入网配置,控制管控设备在物联终端接入时默认拒绝访问网络,入网后通过上送ARP报文至SDN控制器管控,并且仅根据终端接入控制表控制物联终端入网,从而在管控设备上阻断未审批终端联网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本。
在上述各实施例的基础上,进一步地,所述管控设备还包括:
第五接收模块,用于接收所述SDN控制器在判断获知业务子网处于免管控开启时段时下发的第一删除指令;
第一删除模块,用于根据所述第一删除指令删除所述阻断入网配置。
具体地,SDN控制器还可以为业务子网设置免管控时段,当业务子网开启免管控,且处于免管控时段时,默认所有的接入终端都是合法终端。当SDN控制器收到管控设备发送的ARP请求报文之后,SDN控制器解析ARP请求报文,并记录物联终端的IP地址、MAC地址和内外层VLAN信息。SDN控制器根据IP地址判断对应的业务子网是否处于管控开启状态,若是则继续判断是否处于免管控开启时段,若处于免管控开启时段则SDN控制器自动生成终端接入控制表并发送到对应管控设备上,并向第五接收模块备发送第一删除指令,第一删除指令用于指示第一删除模块删除阻断入网配置,从而允许所有物联终端入网。本发明实施例提供的装置,用于实现上述方法,其功能具体参照上述方法实施例,此处不再赘述。
本发明实施例提供的管控设备,通过SDN控制器向免管控开启时段的管控设备下发删除阻断入网配置的指令,控制管控设备在物联终端接入时直接允许访问网络,入网后通过上送ARP报文至SDN控制器管控,并直接根据物联终端的ARP请求报文生成终端接入控制表,从而在管控设备上阻断未审批终端联网,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本,并且通过设置免管控开启时段,降低了终端审批的工作量,提高了审批效率。
在上述各实施例的基础上,进一步地,所述管控设备还包括:
第六接收模块,用于接收所述SDN控制器在判断获知业务子网处于终端自发现关闭状态下下发的第二删除指令;
第二删除模块,用于根据所述第二删除指令删除所述OpenFlow上报流表。
具体地,业务子网处于终端自发现开启状态时,SDN控制器向第四接收模块下发OpenFlow上报流表,OpenFlow上报流表用于指示上报模块将基于业务子网的ARP请求报文上送控制器并按传统转发模式转发ARP请求报文。当业务子网处于终端自发现关闭状态时,SDN控制器向第六接收模块发送第二删除指令,第二删除指令用于指示第二删除模块删除OpenFlow上报流表,即上报模块不再向SDN控制器上送ARP请求报文。本发明实施例提供的装置,用于实现上述方法,其功能具体参照上述方法实施例,此处不再赘述。
本发明实施例提供的管控设备,通过SDN控制器向终端自发现关闭状态的管控设备下发删除OpenFlow上报流表的指令,控制管控设备在物联终端接入时直接允许访问网络,不再上送ARP报文,解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题,通过简化物联终端入网审批过程,提高了物联终端入网效率和对物联终端的安全防护,降低了网络维护成本,并且通过设置终端自发现状态,降低了终端审批的工作量,提高了审批效率。
图6为本发明实施例提供的终端准入控制系统的结构示意图,如图6所示,所述终端准入控制系统包括:SDN控制器61和管控设备62,所述终端准入控制系统中的SDN控制器61,其功能具体参照上述SDN控制器实施例,所述终端准入控制系统中的管控设备62,其功能具体参照上述管控设备实施例,此处不再赘述。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的实施例的技术方案,而非对其限制;尽管参照前述各实施例对本发明的实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明的各实施例技术方案的范围。
Claims (24)
1.一种终端准入控制方法,其特征在于,包括:
接收管控设备转发的来自物联终端的ARP请求报文,所述ARP请求报文携带物联终端的终端标识;
根据所述终端标识匹配预设合法终端列表,判断所述物联终端是否为合法终端;
若所述物联终端为合法终端,则根据所述物联终端的终端标识,生成终端接入控制表;
若所述物联终端为非合法终端,则将所述物联终端的终端标识发送至待审批列表,并在所述物联终端审批通过后,根据所述物联终端的终端标识,生成终端接入控制表;
将所述终端接入控制表发送至所述管控设备,以供所述管控设备根据所述终端接入控制表控制物联终端入网;
其中,所有的物联终端接入默认拒绝访问网络。
2.根据权利要求1所述的方法,其特征在于,还包括:
设置业务网中每个业务子网的管控状态,其中,所述管控状态包括:管控开启状态和管控关闭状态;
若判断获知业务子网的管控状态为管控开启状态,则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置;
相应地,所述接收管控设备转发的来自物联终端的ARP请求报文,包括:
接收管控设备根据所述OpenFlow上报流表转发的来自物联终端的ARP请求报文。
3.根据权利要求2所述的方法,其特征在于,所述管控开启状态包括:免管控开启时段;
相应地,所述方法还包括:
若判断获知所述物联终端对应的业务子网处于免管控开启时段,则向所述业务子网对应的管控设备发送删除所述阻断入网配置的第一删除指令;
相应地,所述接收管控设备转发的来自物联终端的ARP请求报文之后,还包括:
若判断获知所述物联终端对应的业务子网处于免管控开启时段,则根据所述物联终端的终端标识,生成终端接入控制表;
相应地,所述根据所述终端标识匹配预设合法终端列表,判断所述物联终端是否为合法终端,包括:
若判断获知所述物联终端对应的业务子网不处于免管控开启时段,则根据所述终端标识匹配预设合法终端列表,判断所述物联终端是否为合法终端。
4.根据权利要求3所述的方法,其特征在于,还包括:
设置每个业务子网的终端自发现状态,所述终端自发现状态包括终端自发现开启状态和终端自发现关闭状态;
相应地,所述若判断获知业务子网的管控状态为管控开启状态,则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置,包括:
若判断获知所述业务子网的管控状态为管控开启状态并且所述业务子网的终端自发现状态为终端自发现开启状态,则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置;
否则,向所述业务子网对应的管控设备发送删除所述OpenFlow上报流表的第二删除指令。
5.根据权利要求4所述的方法,其特征在于,所述管控设备包括:业务网对应的网关设备;
相应地,所述向所述业务子网对应的管控设备发送阻断入网配置,包括:
向所述业务子网对应的网关设备发送关闭ARP学习配置,所述关闭ARP学习配置用于指示所述网关设备关闭与所述业务子网对应的SVI端口的ARP学习功能,并删除与所述业务子网对应的根据ARP请求报文学习的动态ARP表;
相应地,所述将所述终端接入控制表发送至所述管控设备,以供所述管控设备根据所述终端接入控制表控制物联终端入网,包括:
将所述终端接入控制表发送至所述网关设备,以供所述网关设备根据所述终端接入控制表应答所述物联终端发送的ARP请求。
6.根据权利要求5所述的方法,其特征在于,还包括:
删除所述业务网对应的网关设备;
若判断获知所述业务网中至少一个业务子网的管控状态为管控开启状态,则生成删除网关设备失败的告警信息。
7.根据权利要求5或6所述的方法,其特征在于,还包括:
为所述业务网添加对应的网关设备;
若判断获知所述业务网中至少一个业务子网的管控状态为管控开启状态或所述业务网对应的网关设备的数量为1,则生成添加网关设备失败的告警信息。
8.根据权利要求4所述的方法,其特征在于,所述管控设备包括:业务网对应的接入设备;
相应地,所述方法还包括:为每个所述接入设备设置管控端口和免管控端口;
向每个所述管控端口发送端口安全配置;
向每个所述免管控端口发送报文入网转发流表;
相应地,所述向所述业务子网对应的管控设备发送阻断入网配置,包括:
向所述业务子网对应的接入设备发送IP报文丢弃流表,其中,所述IP报文丢弃流表的优先级小于所述端口安全配置的优先级,并且,所述IP报文丢弃流表的优先级小于所述报文入网转发流表;
相应地,所述将所述终端接入控制表发送至所述管控设备,以供所述管控设备根据所述终端接入控制表控制物联终端入网,包括:
将所述终端接入控制表发送至所述接入设备中的所有管控端口,以供所述管控端口根据所述终端接入控制表更新所述端口安全配置,并根据所述端口安全配置控制物联终端入网。
9.根据权利要求8所述的方法,其特征在于,还包括:
若判断获知所述业务子网的管控状态为管控关闭状态,则向所述管控端口下发删除端口安全配置的第三删除指令;
若判断获知所述业务子网处于终端自发现开启状态,则向所述接入设备发送删除所述OpenFlow上报流表的第二删除指令;
若判断获知所述业务子网不处于免管控开启时段,则向所述接入设备发送删除所述IP报文丢弃流表的第一删除指令。
10.根据权利要求9所述的方法,其特征在于,还包括:
删除接入设备对应的免管控端口,将所述免管控端口更新为管控端口;
向更新后的管控端口发送端口安全配置;
向所述更新后的管控端口下发删除所述报文入网转发流表的第四删除指令。
11.根据权利要求9或10所述的方法,其特征在于,还包括:
删除接入设备对应的管控端口,将所述管控端口更新为免管控端口;
向更新后的免管控端口下发删除所述端口安全配置的第三删除指令;
向所述更新后的免管控端口下发报文入网转发流表。
12.一种终端准入控制方法,其特征在于,包括:
接收来自物联终端的ARP请求报文,所述ARP请求报文携带物联终端的终端标识;
将所述ARP请求报文转发至SDN控制器,以供所述SDN控制器在判断获知所述物联终端为合法终端时,根据所述物联终端的终端标识,生成终端接入控制表,在判断获知所述物联终端为非合法终端时,将所述物联终端的终端标识发送至待审批列表,并在所述物联终端审批通过后,根据所述终端标识生成终端接入控制表;
接收所述SDN控制器发送的终端接入控制表;
根据所述终端接入控制表控制物联终端入网;
其中,所有的物联终端接入默认拒绝访问网络。
13.根据权利要求12所述的方法,其特征在于,还包括:
接收所述SDN控制器在判断获知业务子网的管控状态为管控开启状态时下发的OpenFlow上报流表和阻断入网配置;
根据所述阻断入网配置阻止物联终端入网;
相应地,所述将所述ARP请求报文转发至SDN控制器,包括:
根据所述OpenFlow上报流表将所述ARP请求报文转发至SDN控制器。
14.根据权利要求13所述的方法,其特征在于,还包括;
接收所述SDN控制器在判断获知业务子网处于免管控开启时段时下发的第一删除指令;
根据所述第一删除指令删除所述阻断入网配置。
15.根据权利要求14所述的方法,其特征在于,还包括:
接收所述SDN控制器在判断获知业务子网处于终端自发现关闭状态下下发的第二删除指令;
根据所述第二删除指令删除所述OpenFlow上报流表。
16.一种SDN控制器,其特征在于,包括:
第一接收模块,用于接收管控设备转发的来自物联终端的ARP请求报文,所述ARP请求报文携带物联终端的终端标识;
判断模块,用于根据所述终端标识匹配预设合法终端列表,判断所述物联终端是否为合法终端;
第一控制表生成模块,用于若所述物联终端为合法终端,则根据所述物联终端的终端标识,生成终端接入控制表;
第二控制表生成模块,若所述物联终端为非合法终端,则将所述物联终端的终端标识发送至待审批列表,并在所述物联终端审批通过后,根据所述物联终端的终端标识,生成终端接入控制表;
第一发送模块,用于将所述终端接入控制表发送至所述管控设备,以供所述管控设备根据所述终端接入控制表控制物联终端入网;
其中,所有的物联终端接入默认拒绝访问网络。
17.根据权利要求16所述的SDN控制器,其特征在于,还包括:
管控设置模块,用于设置业务网中每个业务子网的管控状态,其中,所述管控状态包括:管控开启状态和管控关闭状态;
第二发送模块,用于若判断获知业务子网的管控状态为管控开启状态,则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置;
相应地,所述第一接收模块具体用于:
接收管控设备根据所述OpenFlow上报流表转发的来自物联终端的ARP请求报文。
18.根据权利要求17所述的SDN控制器,其特征在于,所述管控开启状态包括:免管控开启时段;
相应地,所述SDN控制器还包括:
免管控处理模块,用于若判断获知所述物联终端对应的业务子网处于免管控开启时段,则向所述业务子网对应的管控设备发送删除所述阻断入网配置的第一删除指令;
相应地,所述SDN控制器还包括:
第三控制表生成模块,用于若判断获知所述物联终端对应的业务子网处于免管控开启时段,则根据所述物联终端的终端标识,生成终端接入控制表;
相应地,所述判断模块具体用于:
若判断获知所述物联终端对应的业务子网不处于免管控开启时段,则根据所述终端标识匹配预设合法终端列表,判断所述物联终端是否为合法终端。
19.根据权利要求18所述的SDN控制器,其特征在于,还包括:
自发现设置模块,用于设置每个业务子网的终端自发现状态,所述终端自发现状态包括终端自发现开启状态和终端自发现关闭状态;
相应地,所述第二发送模块具体用于:
若判断获知所述业务子网的管控状态为管控开启状态并且所述业务子网的终端自发现状态为终端自发现开启状态,则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置;
否则,向所述业务子网对应的管控设备发送删除所述OpenFlow上报流表的第二删除指令。
20.一种管控设备,其特征在于,包括:
第二接收模块,用于接收来自物联终端的ARP请求报文,所述ARP请求报文携带物联终端的终端标识;
上报模块,用于将所述ARP请求报文转发至SDN控制器,以供所述SDN控制器在判断获知所述物联终端为合法终端时,根据所述物联终端的终端标识,生成终端接入控制表,在判断获知所述物联终端为非合法终端时,将所述物联终端的终端标识发送至待审批列表,并在所述物联终端审批通过后,根据所述终端标识生成终端接入控制表;
第三接收模块,用于接收所述SDN控制器发送的终端接入控制表;
准入控制模块,用于根据所述终端接入控制表控制物联终端入网;
其中,所有的物联终端接入默认拒绝访问网络。
21.根据权利要求20所述的管控设备,其特征在于,还包括:
第四接收模块,用于接收所述SDN控制器在判断获知业务子网的管控状态为管控开启状态时下发的OpenFlow上报流表和阻断入网配置;
禁止入网模块,用于根据所述阻断入网配置阻止物联终端入网;
相应地,所述上报模块具体用于:
根据所述OpenFlow上报流表将所述ARP请求报文转发至SDN控制器。
22.根据权利要求21所述的管控设备,其特征在于,还包括;
第五接收模块,用于接收所述SDN控制器在判断获知业务子网处于免管控开启时段时下发的第一删除指令;
第一删除模块,用于根据所述第一删除指令删除所述阻断入网配置。
23.根据权利要求22所述的管控设备,其特征在于,还包括:
第六接收模块,用于接收所述SDN控制器在判断获知业务子网处于终端自发现关闭状态下下发的第二删除指令;
第二删除模块,用于根据所述第二删除指令删除所述OpenFlow上报流表。
24.一种终端准入控制系统,其特征在于,包括:如权利要求16-19任一所述的SDN控制器和如权利要求20-23任一所述的管控设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810911942.3A CN109347784B (zh) | 2018-08-10 | 2018-08-10 | 终端准入控制方法、控制器、管控设备及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810911942.3A CN109347784B (zh) | 2018-08-10 | 2018-08-10 | 终端准入控制方法、控制器、管控设备及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109347784A CN109347784A (zh) | 2019-02-15 |
CN109347784B true CN109347784B (zh) | 2021-10-22 |
Family
ID=65296965
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810911942.3A Active CN109347784B (zh) | 2018-08-10 | 2018-08-10 | 终端准入控制方法、控制器、管控设备及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109347784B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110177015A (zh) * | 2019-05-24 | 2019-08-27 | 杭州迪普科技股份有限公司 | 一种管理终端接入网络的方法及装置 |
CN110290124B (zh) * | 2019-06-14 | 2022-09-30 | 杭州迪普科技股份有限公司 | 一种交换机入端口阻断方法及装置 |
CN110505150A (zh) * | 2019-09-04 | 2019-11-26 | 北京元安物联技术有限公司 | 物联网控制方法、装置、系统、物联网网关及sdn控制器 |
CN112583618B (zh) * | 2019-09-30 | 2024-01-05 | 华为云计算技术有限公司 | 为业务提供网络服务的方法、装置和计算设备 |
CN110691101A (zh) * | 2019-10-28 | 2020-01-14 | 锐捷网络股份有限公司 | 哑终端免认证名单的配置方法及装置 |
CN112187740B (zh) * | 2020-09-14 | 2022-09-16 | 锐捷网络股份有限公司 | 一种网络接入控制方法、装置、电子设备及存储介质 |
CN112637154B (zh) * | 2020-12-09 | 2022-06-21 | 迈普通信技术股份有限公司 | 设备认证方法、装置、电子设备及存储介质 |
CN115277400A (zh) * | 2022-07-15 | 2022-11-01 | 浪潮思科网络科技有限公司 | 一种基于园区网环境的终端入网方法、设备及介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102014378B (zh) * | 2010-11-29 | 2014-04-02 | 北京星网锐捷网络技术有限公司 | 检测非法接入点设备的方法、系统及接入点设备 |
CN102231733B (zh) * | 2011-06-21 | 2014-06-11 | 中国人民解放军国防科学技术大学 | 访问控制方法、主机设备和标识路由器 |
CN105992206B (zh) * | 2015-02-04 | 2019-06-14 | 中国移动通信集团湖北有限公司 | 一种企业安全管理的方法、设备和系统 |
US10050840B2 (en) * | 2015-11-23 | 2018-08-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for an internet of things (IOT) device access in a software-defined networking (SDN) system |
CN106921610A (zh) * | 2015-12-25 | 2017-07-04 | 华为技术有限公司 | 访问控制方法和网络设备 |
CN106790147A (zh) * | 2016-12-28 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种访问控制方法及其装置 |
-
2018
- 2018-08-10 CN CN201810911942.3A patent/CN109347784B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN109347784A (zh) | 2019-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109347784B (zh) | 终端准入控制方法、控制器、管控设备及系统 | |
US11671898B2 (en) | Systems and methods for routing data | |
RU2282945C2 (ru) | Система и способ организации управляемого широковещания | |
US9231911B2 (en) | Per-user firewall | |
CN103795602B (zh) | 虚拟网络的网络策略配置方法及装置 | |
US9363207B2 (en) | Private virtual local area network isolation | |
WO2018050007A1 (zh) | 用户终端访问本地网络的方法和装置和计算机存储介质 | |
CN109379206A (zh) | 网络功能信息的管理方法及相关设备 | |
CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
CN110266550B (zh) | 故障影响预测的方法及装置 | |
CN109525601B (zh) | 内网中终端间的横向流量隔离方法和装置 | |
CN108234677B (zh) | 一种面向多区块链平台的区块链网络节点服务装置 | |
WO2016180181A1 (zh) | 业务功能的部署方法及装置 | |
US20080062999A1 (en) | Method for providing broadband communication service | |
CN110086782B (zh) | 一种酒店物联智控系统及智能控制设备的方法和电子设备 | |
EP3479532B1 (en) | A data packet forwarding unit in software defined networks | |
CN106789527A (zh) | 一种专线网络接入的方法及系统 | |
TW202137735A (zh) | 網路基礎架構可程式切換裝置 | |
CN103516531A (zh) | 一种自动发现网元的方法及对应网元、网管装置 | |
CN103067531A (zh) | 一种公网ip地址资源管理分配方法 | |
CN114205815A (zh) | 一种5g专网认证控制的方法和系统 | |
KR102079508B1 (ko) | 사용자의 요구에 기반하여 효율적으로 네트워크를 관리하기 위한 트래픽 관리 방법 및 장치 | |
CN106411852B (zh) | 一种分布式终端准入控制方法和装置 | |
CN106878302B (zh) | 一种云平台系统及设置方法 | |
EP3836487A1 (en) | Internet access behavior management system, device and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |