CN112822149B - 一种基于智能路由器物理口和mac及ip的终端准入管控设计 - Google Patents

一种基于智能路由器物理口和mac及ip的终端准入管控设计 Download PDF

Info

Publication number
CN112822149B
CN112822149B CN202010828816.9A CN202010828816A CN112822149B CN 112822149 B CN112822149 B CN 112822149B CN 202010828816 A CN202010828816 A CN 202010828816A CN 112822149 B CN112822149 B CN 112822149B
Authority
CN
China
Prior art keywords
network
port
mac
net filter
network port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010828816.9A
Other languages
English (en)
Other versions
CN112822149A (zh
Inventor
顾铠羟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Credit Information Technology Co ltd
Original Assignee
Beijing Credit Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Credit Information Technology Co ltd filed Critical Beijing Credit Information Technology Co ltd
Priority to CN202010828816.9A priority Critical patent/CN112822149B/zh
Publication of CN112822149A publication Critical patent/CN112822149A/zh
Application granted granted Critical
Publication of CN112822149B publication Critical patent/CN112822149B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及计算机终端准入安全领域,尤其是一种基于智能路由器物理口和MAC及IP的终端准入,包括以下两大部分:让同网段网络数据走Linux内核网络子系统Net filter,在Net filter中执行准入策略判定函数,实现各个网口的软隔离,识别MAC终端是从哪个物理网口中接入的,进而判定是否被允许从该物理口接入,在Linux内核网络子系统的网络二层驱动中增加phy字段,标识流量的网口编码,并将编码传入Net filter中,本发明通过使用基于MIPS架构的MTK SOC方案实现物理口和MAC及IP的终端准入管控的智能网关,降低了成本,可以大量部署在网络边缘,同时使用的MTK7621系、MTK7628系、MKT7620系SOC芯片能够大幅降低功耗。

Description

一种基于智能路由器物理口和MAC及IP的终端准入管控设计
技术领域
本发明涉及计算机终端准入安全领域,尤其涉及一种基于智能路由器物理口和MAC及IP的终端准入管控设计。
背景技术
随着计算机网络发展,工业互联网和物联网的壮大,网络环境安全对网络内的设备提出准入要求,即只允许信任的终端接入到网络内,防止陌生电脑接入到业务网络中搞破坏。
目前市场上的防止陌生电脑接入业务网络的实现方式:
1.第一类是将智能网关放置在网络汇聚层,或核心交换机层,即终端上网的流量必经之路;这类产品主要通过MAC地址和IP地址白名单实现,这类产品占绝大多数;
2.第二类是将智能网关放置在边缘层,通过MAC地址+物理口+IP地址实现;这类设备绝大部分是在Intel的X86架构芯片上实现,极少数是在自研芯片(比如华为)上实现,价格昂贵(4000元以上),难以大量部署在每个边界终端的上游;存在缺点如下:
(1)第一类产品不具备物理口准入管控功能;风险是只能让MAC和IP白名单中的设备入网,但由于管不了物理口,限制不了入网点,比如一台电脑只要在白名单内,从A地点上网和从B地点上网没有任何区别,都会被允许;实际情况有可能A,B两点分在不同业务的局域网络中,安全防护等级不同,是不允许这样操作的
(2)第二类产品,价格贵。
综上所述需要对目前市场上设置有的终端准入管控方法进行调整。
发明内容
本发明的目的是为了解决现有技术中存在的缺点,而提出的一种基于智能路由器物理口和MAC及IP的终端准入管控设计。
为达到以上目的,本发明采用的技术方案为:一种基于智能路由器物理口和MAC及IP的终端准入,包括以下两大部分:
(1)让同网段网络数据走Linux内核网络子系统net filter,在net filter中执行准入策略判定函数,实现各个网口的软隔离,具体实施步骤如下:
(i)取用一个支持多个网口的SOC芯片,所述SOC芯片具体为MTK7621系、MTK7628系、MKT7620系SOC芯片中的一个,将SOC芯片的每个网口单独划分一个虚拟局域网;
(ii)将每个虚拟局域网都挂载到同一个网桥中;
(iii)将每一个虚拟局域网获取的通信流量,向Linux内核Net filter中发送;
(iv)Net filter将处理后通信流量送入网桥,并经由网桥将处理后的通信流量送往除发送网口以外的其它网口;
(2)识别MAC终端是从哪个物理网口中接入的,进而判定是否被允许从该物理口接入,在Linux内核网络子系统的网络二层驱动中增加phy字段,标识流量的网口编码,并将编码传入Net filter中,具体实施步骤如下:
(i)将交换芯片的网口作WAN网口、LAN网口划分;
(ii)在Linux内核ebtable层网络驱动中修改以太网二层网络协议字段,增加phy结构体指针;
(iii)向网络协议中增加两个字段:src_phy_name(源网口名称)和dst_phy_name(目标网口名称),当通信流量进入ebtable层转换时,将源网口编码和目标网口编码复制到新增加的phy对象字段中,继续Net filter层传递。
进一步的,所述src_phy_name(源网口名称)为在Net filter中与MAC地址进行比对的对象,具体比对步骤如下:
(i)判断MAC地址是否在白名单中,并判断MAC地址是否为指定的网口接入;
(ii)如果同时满足白名单和指定网口接入的条件,MAC地址可以进入后续流程中,如果不满足白名单和/或指定网口接入的条件,则对该MAC地址进行阻断。
与现有技术相比,本发明具有以下有益效果:通过使用基于MIPS架构的MTK SOC方案实现物理口和MAC及IP的终端准入管控的智能网关,降低了成本,可以大量部署在网络边缘,同时使用的MTK芯片能够大幅降低功耗。
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
在本发明的上述描述中,需要说明的是,该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
此外,术语“相同”等术语并不表示要求部件绝对相同,而是可以存在微小的差异。术语“垂直”仅仅是指部件之间的位置关系相对“平行”而言更加垂直,并不是表示该结构一定要完全垂直,而是可以稍微倾斜。
以下描述用于揭露本发明以使本领域技术人员能够实现本发明。以下描述中的优选实施例只作为举例,本领域技术人员可以想到其他显而易见的变型。
一种基于智能路由器物理口和MAC及IP的终端准入,包括以下两大部分:
(1)让同网段网络数据走Linux内核网络子系统net filter,在net filter中执行准入策略判定函数,实现各个网口的软隔离,具体实施步骤如下:
(i)取用一个支持多个网口的SOC芯片,所述SOC芯片具体为MTK7621系、MTK7628系、MKT7620系SOC芯片中的一个,将SOC芯片的每个网口单独划分一个虚拟局域网;实现每个网口都成为一个虚拟网络孤岛,每个网口之间通信必须跨虚拟局域网通信;
(ii)将每个虚拟局域网都挂载到同一个网桥中,实现虚拟局域网孤岛直接的通信;
(iii)将每一个虚拟局域网获取的通信流量,向Linux内核Net filter中发送;
(iv)Net filter将处理后通信流量送入网桥,并经由网桥将处理后的通信流量送往除发送网口以外的其它网口;
(2)识别MAC终端是从哪个物理网口中接入的,进而判定是否被允许从该物理口接入,在Linux内核网络子系统的网络二层驱动中增加phy字段,标识流量的网口编码,并将编码传入Net filter中,具体实施步骤如下:
(i)将交换芯片的网口作WAN网口、LAN网口划分;
(ii)由于Linux系统能够识别物理口编号,且物理口编号固定不变;到了Netfilter中的数据只有二层网络数据,仅包含MAC地址,其中网口编码信息在ebtable层完成二层数据解析后已经被过滤;因此需要在Linux内核ebtable层网络驱动中修改以太网二层网络协议字段,增加phy结构体指针;
(iii)向以太网二层网络协议中增加两个字段:src_phy_name(源网口名称)和dst_phy_name(目标网口名称),当通信流量进入ebtable层转换时,将源网口编码和目标网口编码复制到新增加的phy对象字段中,继续Net filter层传递。
src_phy_name(源网口名称)为在Net filter中与MAC地址进行比对的对象,具体比对步骤如下:
(i)判断MAC地址是否在白名单中,并判断MAC地址是否为指定的网口接入;
如果同时满足白名单和指定网口接入的条件,MAC地址可以进入后续流程中,如果不满足白名单和/或指定网口接入的条件,则对该MAC地址进行阻断。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。
本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是本发明的原理,在不脱离本发明精神和范围的前提下本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明的范围内。
本发明要求的保护范围由所附的权利要求书及其等。

Claims (2)

1.一种基于智能路由器物理口和MAC及IP的终端准入方法 ,其特征在于,包括以下两大部分:
(1)让同网段网络数据走Linux内核网络子系统Net filter,在Net filter中执行准入策略判定函数,实现各个网口的软隔离,具体实施步骤如下:
(i)取用一个支持多个网口的SOC芯片,所述SOC芯片具体为MTK7621系、MTK7628系、MKT7620系SOC芯片中的一个,将SOC芯片的每个网口单独划分一个虚拟局域网;
(ii)将每个虚拟局域网都挂载到同一个网桥中;
(iii)将每一个虚拟局域网获取的通信流量,向Linux内核Net filter中发送;
(iv)Net filter将处理后通信流量送入网桥,并经由网桥将处理后的通信流量送往除发送网口以外的其它网口;
(2)识别MAC终端是从哪个物理网口中接入的,进而判定是否被允许从该物理口接入,在Linux内核网络子系统的网络二层驱动中增加phy字段,标识流量的网口编码,并将编码传入Net filter中,具体实施步骤如下:
(i)将交换芯片的网口作WAN网口、LAN网口划分;
(ii)在Linux内核ebtable层网络驱动中修改以太网二层网络协议字段,增加phy结构体指针;
向网络协议中增加两个字段:src_phy_name和dst_phy_name,当通信流量进入ebtable层转换时,将源网口编码和目标网口编码复制到新增加的phy对象字段中,继续Net filter层传递。
2.根据权利要求1所述的一种基于智能路由器物理口和MAC及IP的终端准入方法 ,其特征在于,所述src_phy_name为在Net filter中与MAC地址进行比对的对象,具体比对步骤如下:
(i)判断MAC地址是否在白名单中,并判断MAC地址是否为指定的网口接入;
(ii)如果同时满足白名单和指定网口接入的条件,MAC地址进入后续流程中,如果不满足白名单和/或指定网口接入的条件,则对该MAC地址进行阻断。
CN202010828816.9A 2020-08-17 2020-08-17 一种基于智能路由器物理口和mac及ip的终端准入管控设计 Active CN112822149B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010828816.9A CN112822149B (zh) 2020-08-17 2020-08-17 一种基于智能路由器物理口和mac及ip的终端准入管控设计

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010828816.9A CN112822149B (zh) 2020-08-17 2020-08-17 一种基于智能路由器物理口和mac及ip的终端准入管控设计

Publications (2)

Publication Number Publication Date
CN112822149A CN112822149A (zh) 2021-05-18
CN112822149B true CN112822149B (zh) 2022-07-12

Family

ID=75852978

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010828816.9A Active CN112822149B (zh) 2020-08-17 2020-08-17 一种基于智能路由器物理口和mac及ip的终端准入管控设计

Country Status (1)

Country Link
CN (1) CN112822149B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114625475B (zh) * 2021-06-22 2023-10-24 江苏航天龙梦信息技术有限公司 基于龙芯平台的多网口扩展方法和系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104158767A (zh) * 2014-09-03 2014-11-19 吕书健 一种网络准入装置及方法
CN105245473A (zh) * 2015-09-02 2016-01-13 国家电网公司 基于交换机双重绑定的局域网终端准入控制方法
CN105827648A (zh) * 2016-05-18 2016-08-03 霍焕潇 基于ip-mac实名绑定的网络准入控制系统及控制方法
CN106657029A (zh) * 2016-12-05 2017-05-10 南京南瑞继保电气有限公司 一种基于白名单实现多网口共享ip地址的冗余通信方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7260097B2 (en) * 2002-01-30 2007-08-21 Nortel Networks Limited Label control method and apparatus for virtual private LAN segment networks
US20070286202A1 (en) * 2006-06-08 2007-12-13 Latitude Broadband Global, Inc. Methods and Systems for Call Admission Control and Providing Quality of Service in Broadband Wireless Access Packet-Based Networks
TWI630488B (zh) * 2017-08-04 2018-07-21 中華電信股份有限公司 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104158767A (zh) * 2014-09-03 2014-11-19 吕书健 一种网络准入装置及方法
CN105245473A (zh) * 2015-09-02 2016-01-13 国家电网公司 基于交换机双重绑定的局域网终端准入控制方法
CN105827648A (zh) * 2016-05-18 2016-08-03 霍焕潇 基于ip-mac实名绑定的网络准入控制系统及控制方法
CN106657029A (zh) * 2016-12-05 2017-05-10 南京南瑞继保电气有限公司 一种基于白名单实现多网口共享ip地址的冗余通信方法

Also Published As

Publication number Publication date
CN112822149A (zh) 2021-05-18

Similar Documents

Publication Publication Date Title
CN1153416C (zh) 分组交换机通信方法
CA2272056C (en) A method and apparatus for updating address lists for a packet filter processor
US7599289B2 (en) Electronic communication control
CN102025535B (zh) 虚拟机管理方法、装置及网络设备
EP1408656B1 (en) Method and device for transparent LAN services
CN102263774B (zh) 一种处理源角色信息的方法和装置
US20090172151A1 (en) Dynamic network configuration
EP1367798B1 (en) High-speed adaptative structure of elementary firewall modules
US20060215645A1 (en) Setting control device for layer 2 device
CN104158767B (zh) 一种网络准入装置及方法
CN1312631A (zh) 数据通信交换机的优先权重新映射
JPH05114905A (ja) 単一アドレス及びプロトコール・テーブル・ブリツジを使用したメツセージの処置フイルタリング
JPH04237235A (ja) コンピュータコミュニケーションネットワークへのアタッチメントのためのステーション及びその方法
CN1875585A (zh) 利用mac限制来控制动态未知l2泛滥
CN105282169A (zh) 基于SDN控制器阈值的DDoS攻击预警方法及其系统
CN112822149B (zh) 一种基于智能路由器物理口和mac及ip的终端准入管控设计
CN1175621C (zh) 一种检测并监控恶意用户主机攻击的方法
CN1677982B (zh) 一种用于在网络交换器中传送输入帧的装置和方法
EP2600566B1 (en) Unauthorized access blocking control method
CN106506200A (zh) 一种基于sdn的arp协议辅助模型
CN101238684B (zh) 一种以太网交换机可分层次的集群管理系统及方法
CN108390809A (zh) 一种基于vf混杂模式的桥接方法及其系统
CN108282462A (zh) 一种隔离业务网和管理网的装置
CN109995636B (zh) 混合组网方法、装置、系统、设备及介质
JP2003244185A (ja) Vlan及びvlanフレームスイッチング装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant