CN112822149B - 一种基于智能路由器物理口和mac及ip的终端准入管控设计 - Google Patents
一种基于智能路由器物理口和mac及ip的终端准入管控设计 Download PDFInfo
- Publication number
- CN112822149B CN112822149B CN202010828816.9A CN202010828816A CN112822149B CN 112822149 B CN112822149 B CN 112822149B CN 202010828816 A CN202010828816 A CN 202010828816A CN 112822149 B CN112822149 B CN 112822149B
- Authority
- CN
- China
- Prior art keywords
- network
- port
- mac
- net filter
- network port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及计算机终端准入安全领域,尤其是一种基于智能路由器物理口和MAC及IP的终端准入,包括以下两大部分:让同网段网络数据走Linux内核网络子系统Net filter,在Net filter中执行准入策略判定函数,实现各个网口的软隔离,识别MAC终端是从哪个物理网口中接入的,进而判定是否被允许从该物理口接入,在Linux内核网络子系统的网络二层驱动中增加phy字段,标识流量的网口编码,并将编码传入Net filter中,本发明通过使用基于MIPS架构的MTK SOC方案实现物理口和MAC及IP的终端准入管控的智能网关,降低了成本,可以大量部署在网络边缘,同时使用的MTK7621系、MTK7628系、MKT7620系SOC芯片能够大幅降低功耗。
Description
技术领域
本发明涉及计算机终端准入安全领域,尤其涉及一种基于智能路由器物理口和MAC及IP的终端准入管控设计。
背景技术
随着计算机网络发展,工业互联网和物联网的壮大,网络环境安全对网络内的设备提出准入要求,即只允许信任的终端接入到网络内,防止陌生电脑接入到业务网络中搞破坏。
目前市场上的防止陌生电脑接入业务网络的实现方式:
1.第一类是将智能网关放置在网络汇聚层,或核心交换机层,即终端上网的流量必经之路;这类产品主要通过MAC地址和IP地址白名单实现,这类产品占绝大多数;
2.第二类是将智能网关放置在边缘层,通过MAC地址+物理口+IP地址实现;这类设备绝大部分是在Intel的X86架构芯片上实现,极少数是在自研芯片(比如华为)上实现,价格昂贵(4000元以上),难以大量部署在每个边界终端的上游;存在缺点如下:
(1)第一类产品不具备物理口准入管控功能;风险是只能让MAC和IP白名单中的设备入网,但由于管不了物理口,限制不了入网点,比如一台电脑只要在白名单内,从A地点上网和从B地点上网没有任何区别,都会被允许;实际情况有可能A,B两点分在不同业务的局域网络中,安全防护等级不同,是不允许这样操作的
(2)第二类产品,价格贵。
综上所述需要对目前市场上设置有的终端准入管控方法进行调整。
发明内容
本发明的目的是为了解决现有技术中存在的缺点,而提出的一种基于智能路由器物理口和MAC及IP的终端准入管控设计。
为达到以上目的,本发明采用的技术方案为:一种基于智能路由器物理口和MAC及IP的终端准入,包括以下两大部分:
(1)让同网段网络数据走Linux内核网络子系统net filter,在net filter中执行准入策略判定函数,实现各个网口的软隔离,具体实施步骤如下:
(i)取用一个支持多个网口的SOC芯片,所述SOC芯片具体为MTK7621系、MTK7628系、MKT7620系SOC芯片中的一个,将SOC芯片的每个网口单独划分一个虚拟局域网;
(ii)将每个虚拟局域网都挂载到同一个网桥中;
(iii)将每一个虚拟局域网获取的通信流量,向Linux内核Net filter中发送;
(iv)Net filter将处理后通信流量送入网桥,并经由网桥将处理后的通信流量送往除发送网口以外的其它网口;
(2)识别MAC终端是从哪个物理网口中接入的,进而判定是否被允许从该物理口接入,在Linux内核网络子系统的网络二层驱动中增加phy字段,标识流量的网口编码,并将编码传入Net filter中,具体实施步骤如下:
(i)将交换芯片的网口作WAN网口、LAN网口划分;
(ii)在Linux内核ebtable层网络驱动中修改以太网二层网络协议字段,增加phy结构体指针;
(iii)向网络协议中增加两个字段:src_phy_name(源网口名称)和dst_phy_name(目标网口名称),当通信流量进入ebtable层转换时,将源网口编码和目标网口编码复制到新增加的phy对象字段中,继续Net filter层传递。
进一步的,所述src_phy_name(源网口名称)为在Net filter中与MAC地址进行比对的对象,具体比对步骤如下:
(i)判断MAC地址是否在白名单中,并判断MAC地址是否为指定的网口接入;
(ii)如果同时满足白名单和指定网口接入的条件,MAC地址可以进入后续流程中,如果不满足白名单和/或指定网口接入的条件,则对该MAC地址进行阻断。
与现有技术相比,本发明具有以下有益效果:通过使用基于MIPS架构的MTK SOC方案实现物理口和MAC及IP的终端准入管控的智能网关,降低了成本,可以大量部署在网络边缘,同时使用的MTK芯片能够大幅降低功耗。
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
在本发明的上述描述中,需要说明的是,该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
此外,术语“相同”等术语并不表示要求部件绝对相同,而是可以存在微小的差异。术语“垂直”仅仅是指部件之间的位置关系相对“平行”而言更加垂直,并不是表示该结构一定要完全垂直,而是可以稍微倾斜。
以下描述用于揭露本发明以使本领域技术人员能够实现本发明。以下描述中的优选实施例只作为举例,本领域技术人员可以想到其他显而易见的变型。
一种基于智能路由器物理口和MAC及IP的终端准入,包括以下两大部分:
(1)让同网段网络数据走Linux内核网络子系统net filter,在net filter中执行准入策略判定函数,实现各个网口的软隔离,具体实施步骤如下:
(i)取用一个支持多个网口的SOC芯片,所述SOC芯片具体为MTK7621系、MTK7628系、MKT7620系SOC芯片中的一个,将SOC芯片的每个网口单独划分一个虚拟局域网;实现每个网口都成为一个虚拟网络孤岛,每个网口之间通信必须跨虚拟局域网通信;
(ii)将每个虚拟局域网都挂载到同一个网桥中,实现虚拟局域网孤岛直接的通信;
(iii)将每一个虚拟局域网获取的通信流量,向Linux内核Net filter中发送;
(iv)Net filter将处理后通信流量送入网桥,并经由网桥将处理后的通信流量送往除发送网口以外的其它网口;
(2)识别MAC终端是从哪个物理网口中接入的,进而判定是否被允许从该物理口接入,在Linux内核网络子系统的网络二层驱动中增加phy字段,标识流量的网口编码,并将编码传入Net filter中,具体实施步骤如下:
(i)将交换芯片的网口作WAN网口、LAN网口划分;
(ii)由于Linux系统能够识别物理口编号,且物理口编号固定不变;到了Netfilter中的数据只有二层网络数据,仅包含MAC地址,其中网口编码信息在ebtable层完成二层数据解析后已经被过滤;因此需要在Linux内核ebtable层网络驱动中修改以太网二层网络协议字段,增加phy结构体指针;
(iii)向以太网二层网络协议中增加两个字段:src_phy_name(源网口名称)和dst_phy_name(目标网口名称),当通信流量进入ebtable层转换时,将源网口编码和目标网口编码复制到新增加的phy对象字段中,继续Net filter层传递。
src_phy_name(源网口名称)为在Net filter中与MAC地址进行比对的对象,具体比对步骤如下:
(i)判断MAC地址是否在白名单中,并判断MAC地址是否为指定的网口接入;
如果同时满足白名单和指定网口接入的条件,MAC地址可以进入后续流程中,如果不满足白名单和/或指定网口接入的条件,则对该MAC地址进行阻断。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。
本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是本发明的原理,在不脱离本发明精神和范围的前提下本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明的范围内。
本发明要求的保护范围由所附的权利要求书及其等。
Claims (2)
1.一种基于智能路由器物理口和MAC及IP的终端准入方法 ,其特征在于,包括以下两大部分:
(1)让同网段网络数据走Linux内核网络子系统Net filter,在Net filter中执行准入策略判定函数,实现各个网口的软隔离,具体实施步骤如下:
(i)取用一个支持多个网口的SOC芯片,所述SOC芯片具体为MTK7621系、MTK7628系、MKT7620系SOC芯片中的一个,将SOC芯片的每个网口单独划分一个虚拟局域网;
(ii)将每个虚拟局域网都挂载到同一个网桥中;
(iii)将每一个虚拟局域网获取的通信流量,向Linux内核Net filter中发送;
(iv)Net filter将处理后通信流量送入网桥,并经由网桥将处理后的通信流量送往除发送网口以外的其它网口;
(2)识别MAC终端是从哪个物理网口中接入的,进而判定是否被允许从该物理口接入,在Linux内核网络子系统的网络二层驱动中增加phy字段,标识流量的网口编码,并将编码传入Net filter中,具体实施步骤如下:
(i)将交换芯片的网口作WAN网口、LAN网口划分;
(ii)在Linux内核ebtable层网络驱动中修改以太网二层网络协议字段,增加phy结构体指针;
向网络协议中增加两个字段:src_phy_name和dst_phy_name,当通信流量进入ebtable层转换时,将源网口编码和目标网口编码复制到新增加的phy对象字段中,继续Net filter层传递。
2.根据权利要求1所述的一种基于智能路由器物理口和MAC及IP的终端准入方法 ,其特征在于,所述src_phy_name为在Net filter中与MAC地址进行比对的对象,具体比对步骤如下:
(i)判断MAC地址是否在白名单中,并判断MAC地址是否为指定的网口接入;
(ii)如果同时满足白名单和指定网口接入的条件,MAC地址进入后续流程中,如果不满足白名单和/或指定网口接入的条件,则对该MAC地址进行阻断。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010828816.9A CN112822149B (zh) | 2020-08-17 | 2020-08-17 | 一种基于智能路由器物理口和mac及ip的终端准入管控设计 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010828816.9A CN112822149B (zh) | 2020-08-17 | 2020-08-17 | 一种基于智能路由器物理口和mac及ip的终端准入管控设计 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112822149A CN112822149A (zh) | 2021-05-18 |
CN112822149B true CN112822149B (zh) | 2022-07-12 |
Family
ID=75852978
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010828816.9A Active CN112822149B (zh) | 2020-08-17 | 2020-08-17 | 一种基于智能路由器物理口和mac及ip的终端准入管控设计 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112822149B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114625475B (zh) * | 2021-06-22 | 2023-10-24 | 江苏航天龙梦信息技术有限公司 | 基于龙芯平台的多网口扩展方法和系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104158767A (zh) * | 2014-09-03 | 2014-11-19 | 吕书健 | 一种网络准入装置及方法 |
CN105245473A (zh) * | 2015-09-02 | 2016-01-13 | 国家电网公司 | 基于交换机双重绑定的局域网终端准入控制方法 |
CN105827648A (zh) * | 2016-05-18 | 2016-08-03 | 霍焕潇 | 基于ip-mac实名绑定的网络准入控制系统及控制方法 |
CN106657029A (zh) * | 2016-12-05 | 2017-05-10 | 南京南瑞继保电气有限公司 | 一种基于白名单实现多网口共享ip地址的冗余通信方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7260097B2 (en) * | 2002-01-30 | 2007-08-21 | Nortel Networks Limited | Label control method and apparatus for virtual private LAN segment networks |
US20070286202A1 (en) * | 2006-06-08 | 2007-12-13 | Latitude Broadband Global, Inc. | Methods and Systems for Call Admission Control and Providing Quality of Service in Broadband Wireless Access Packet-Based Networks |
TWI630488B (zh) * | 2017-08-04 | 2018-07-21 | 中華電信股份有限公司 | 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統 |
-
2020
- 2020-08-17 CN CN202010828816.9A patent/CN112822149B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104158767A (zh) * | 2014-09-03 | 2014-11-19 | 吕书健 | 一种网络准入装置及方法 |
CN105245473A (zh) * | 2015-09-02 | 2016-01-13 | 国家电网公司 | 基于交换机双重绑定的局域网终端准入控制方法 |
CN105827648A (zh) * | 2016-05-18 | 2016-08-03 | 霍焕潇 | 基于ip-mac实名绑定的网络准入控制系统及控制方法 |
CN106657029A (zh) * | 2016-12-05 | 2017-05-10 | 南京南瑞继保电气有限公司 | 一种基于白名单实现多网口共享ip地址的冗余通信方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112822149A (zh) | 2021-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1153416C (zh) | 分组交换机通信方法 | |
CA2272056C (en) | A method and apparatus for updating address lists for a packet filter processor | |
US7599289B2 (en) | Electronic communication control | |
CN102025535B (zh) | 虚拟机管理方法、装置及网络设备 | |
EP1408656B1 (en) | Method and device for transparent LAN services | |
CN102263774B (zh) | 一种处理源角色信息的方法和装置 | |
US20090172151A1 (en) | Dynamic network configuration | |
EP1367798B1 (en) | High-speed adaptative structure of elementary firewall modules | |
US20060215645A1 (en) | Setting control device for layer 2 device | |
CN104158767B (zh) | 一种网络准入装置及方法 | |
CN1312631A (zh) | 数据通信交换机的优先权重新映射 | |
JPH05114905A (ja) | 単一アドレス及びプロトコール・テーブル・ブリツジを使用したメツセージの処置フイルタリング | |
JPH04237235A (ja) | コンピュータコミュニケーションネットワークへのアタッチメントのためのステーション及びその方法 | |
CN1875585A (zh) | 利用mac限制来控制动态未知l2泛滥 | |
CN105282169A (zh) | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 | |
CN112822149B (zh) | 一种基于智能路由器物理口和mac及ip的终端准入管控设计 | |
CN1175621C (zh) | 一种检测并监控恶意用户主机攻击的方法 | |
CN1677982B (zh) | 一种用于在网络交换器中传送输入帧的装置和方法 | |
EP2600566B1 (en) | Unauthorized access blocking control method | |
CN106506200A (zh) | 一种基于sdn的arp协议辅助模型 | |
CN101238684B (zh) | 一种以太网交换机可分层次的集群管理系统及方法 | |
CN108390809A (zh) | 一种基于vf混杂模式的桥接方法及其系统 | |
CN108282462A (zh) | 一种隔离业务网和管理网的装置 | |
CN109995636B (zh) | 混合组网方法、装置、系统、设备及介质 | |
JP2003244185A (ja) | Vlan及びvlanフレームスイッチング装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |