CN116015888A - 网络资源访问控制方法、装置及存储介质 - Google Patents
网络资源访问控制方法、装置及存储介质 Download PDFInfo
- Publication number
- CN116015888A CN116015888A CN202211691197.9A CN202211691197A CN116015888A CN 116015888 A CN116015888 A CN 116015888A CN 202211691197 A CN202211691197 A CN 202211691197A CN 116015888 A CN116015888 A CN 116015888A
- Authority
- CN
- China
- Prior art keywords
- terminal
- network
- message
- physical address
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种网络资源访问控制方法、装置及存储介质,涉及互联网技术领域,应用于服务器端,服务器端与终端通信连接;该方法包括:对终端发送的报文消息进行解析,获得终端网络信息;其中,终端网络信息包括:终端的物理地址和终端的状态信息;根据终端的状态信息,控制终端的物理地址进行对应的VLAN切换,以使终端访问对应VLAN中的网络资源。基于简单网络管理协议接收报文信息进行解析,获取到物理地址、上线/下线等状态信息,发送简单网络管理协议控制指令控制该物理地址进行VLAN切换,以达到网路资源的访问控制,实现能够使用户在无操作、无感知的情况下,进行网路资源的访问控制,提高了网络资源访问的效率,提升了用户使用体验感。
Description
技术领域
本申请涉及互联网技术领域,具体而言,涉及一种网络资源访问控制方法、装置及存储介质。
背景技术
在终端进行入网时,常常需要根据终端入网的权限,访问对应的网络资源。IEEE802.lX是由IEEE制定的关于用户接入网络的认证标准,是一种基于端口的网络接入控制协议,在设备端口上进行配置,对端口上接入的终端通过认证来控制对网络资源的访问。802.lx协议可以限制未经授权的终端通过接入端口访问局域网,是一种可信网络接入技术的认证协议,以其协议安全、实现简单的特点,与其他认证协议一起,为使用不对称数字用户线、VDSL、局域网LAN、无线局域网WLAN等多种宽带接入方式的用户提供了丰富的认证方式。
目前,在现有的接入侧网络中,常用的网络资源访问控制方法有802.1x认证和web认证。802.1x认证需要终端用户安装特定的认证客户端,同时还需要注册或登录用户名、密码才能实现,用户操作繁琐;而web认证是基于IP地址的控制,对终端用户的控制力度较低,无法达到MAC地址(物理地址)级别。
发明内容
有鉴于此,本申请实施例的目的在于提供一种网络资源访问控制方法、装置、设备及存储介质,通过基于简单网络管理协议发送报文到服务器端,服务器端收到报文信息进行解析,获取到物理地址、上线/下线等状态信息,下发控制指令控制该物理地址进行VLAN切换,以达到网路资源的访问控制,实现能够使用户在无操作、无感知的情况下,进行网路资源的访问控制,从而解决了上述“用户操作繁琐、对终端用户的控制力度较低”的技术问题。
第一方面,本申请实施例提供一种网络资源访问控制方法,应用于服务器端;所述服务器端与终端通信连接;所述方法包括:对终端发送的报文消息进行解析,获得终端网络信息;其中,所述终端网络信息包括:终端的物理地址和终端的状态信息;根据所述终端的状态信息,控制所述终端的物理地址进行对应的VLAN切换,以使终端访问对应VLAN中的网络资源。
在上述实现过程中,通过应用于服务器端的网络资源访问控制方法,基于简单网络管理协议接收报文信息进行解析,获取到物理地址、上线/下线等状态信息,发送简单网络管理协议控制指令控制物理地址进行VLAN切换,以达到网路资源的访问控制,实现能够使用户在无操作、无感知的情况下,进行网路资源的访问控制,提高了网络资源访问的效率,提升了用户使用体验感。
可选地,所述终端的状态消息包括:下线消息;所述根据所述终端的状态信息,控制所述终端的物理地址进行对应的VLAN切换,包括:若所述终端的状态消息为下线消息,则向终端发送简单网络管理协议控制指令;基于所述简单网络管理协议控制指令,控制所述终端将终端的物理地址进行探测VLAN切换。
在上述实现过程中,通过对报文消息进行解析,判定终端的状态消息为下线消息后,给网络交换机发送对应VLAN切换指令切换到探测VLAN中,使得终端设备在关机状态或网线拔掉状态时,能够方便下次重新进行切换,提高了网络资源访问的效率,提高了访问控制的科学性。
可选地,所述终端的状态消息包括:上线消息;所述根据所述终端的状态信息,控制所述终端的物理地址进行对应的VLAN切换,包括:若所述终端的状态消息为上线消息,则判断所述终端的物理地址是否在网络资产列表中;若判定所述终端的物理地址在所述网络资产列表中,则向终端发送简单网络管理协议控制指令;基于所述简单网络管理协议控制指令,控制所述终端将终端的物理地址进行所述网络资产列表中的指定VLAN切换。
在上述实现过程中,通过对报文消息进行解析,判定终端的状态消息为上线消息后,进一步判断该物理地址是否在网络资产列表中,如果在网络资产列表中,给网络交换机发送对应VLAN切换指令切换到指定VLAN中,实现了上线状态的终端设备的快速访问,提高了网络资源访问的效率,提高了访问控制的科学性。
可选地,所述若所述终端的状态消息为上线消息,则判断所述终端的物理地址是否在所述网络资产列表中之后,所述根据所述终端的状态信息,控制所述终端的物理地址进行对应的VLAN切换,还包括:若判定所述终端的物理地址不在网络资产列表中,则向终端发送简单网络管理协议控制指令;基于所述简单网络管理协议控制指令,控制所述终端将终端的物理地址进行隔离VLAN切换。
在上述实现过程中,通过对报文消息进行解析,判定终端的状态消息为上线消息后,进一步判断该MAC地址是否在网络资产列表中,如果不在网络资产列表中,则给网络交换机发送对应VLAN切换指令切换到隔离VLAN中进行设备的注册,实现了上线状态的终端设备的快速注册、快速访问,提高了网络资源访问的效率,提高了访问控制的科学性。
可选地,所述简单网络管理协议控制指令包括:snmp set指令。
在上述实现过程中,通过使用snmp set指令实现对终端物理地址隔离VLAN、探测VLAN和指定VLAN的切换,提高了网络资源访问的效率,提高了访问控制的科学性。
第二方面,本申请实施例提供了一种网络资源访问控制方法,应用于终端;所述终端与服务器端通信连接;所述方法包括:连接网络交换机,并在所述网络交换机中配置报文消息模式;基于所述报文消息模式,向服务器端发送报文消息;接收服务器端发送的简单网络管理协议控制指令,并对所述终端的物理地址进行对应VLAN切换,以访问对应VLAN中的网络资源。
在上述实现过程中,通过应用于终端的网络资源访问控制方法,在交换机中配置报文消息模式向服务器端发送报文消息,并接收服务器端发送的简单网络管理协议控制指令控制物理地址进行VLAN切换,以达到网路资源的访问控制,实现能够使用户在无操作、无感知的情况下,进行网路资源的访问控制,提高了网络资源访问的效率,提升了用户使用体验感。
第三方面,本申请实施例提供了一种网络资源访问控制方法,应用于包括终端和服务器端的系统;所述终端与所述服务器端通信连接;所述方法包括:由所述终端,连接网络交换机,并在所述网络交换机中配置报文消息模式;由所述终端,基于所述报文消息模式,向所述服务器端发送报文消息;由所述服务器端,对所述终端发送的报文消息进行解析,获得终端网络信息;其中,所述终端网络信息包括:终端的物理地址和终端的状态信息;由所述服务器端,根据所述终端的状态信息,控制所述终端的物理地址进行对应的VLAN切换,以使终端访问对应VLAN中的网络资源;由所述终端,接收服务器端发送的简单网络管理协议控制指令,并对所述终端的物理地址进行对应VLAN切换,以访问对应VLAN中的网络资源。
在上述实现过程中,通过基于简单网络管理协议发送报文到服务器端,服务器端收到报文信息进行解析,获取到物理地址、上线/下线等状态信息,在服务器端通过简单网络管理协议控制指令控制物理地址进行VLAN切换,以达到网路资源的访问控制,实现能够使用户在无操作、无感知的情况下,进行网路资源的访问控制,提高了网络资源访问的效率,提升了用户使用体验感。
第四方面,本申请实施例提供了一种网络资源访问控制装置,应用于服务器端;所述服务器端与终端通信连接,所述装置包括:解析报文模块,用于对终端发送的报文消息进行解析,获得终端网络信息;其中,所述终端网络信息包括:终端的物理地址和终端的状态信息;控制模块,用于根据所述终端状态信息,控制所述终端的物理地址进行对应的VLAN切换,以使终端访问对应VLAN中的网络资源。
第五方面,本申请实施例提供了一种网络资源访问控制装置,应用于终端;所述终端与服务器端通信连接;所述装置包括:接入配置模块,用于连接网络交换机,并在所述网络交换机中配置报文消息模式;发送报文模块,用于基于所述报文消息模式,向服务器端发送报文消息;切换模块,用于接收服务器端发送的简单网络管理协议控制指令,并对所述终端的物理地址进行对应VLAN切换,以访问对应VLAN中的网络资源。
第六方面,本申请实施例还提供一种电子设备,包括:处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述机器可读指令被所述处理器执行时执行上述的方法的步骤。
第七方面,本申请实施例提供一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述的方法的步骤。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络资源访问控制方法的流程图;
图2为本申请实施例提供的一种网络资源访问控制方法的示意图;
图3为本申请实施例提供的一种应用于服务器端的网络资源访问控制方法的流程图;
图4为本申请实施例提供的一种应用于终端的网络资源访问控制方法的流程图;
图5为本申请实施例提供的应用于服务器端的网络资源访问控制装置的功能模块示意图;
图6为本申请实施例提供的应用于终端的网络资源访问控制装置的功能模块示意图;
图7为本申请实施例提供网络资源访问控制装置的电子设备的方框示意图。
图标:210-解析报文模块;220-控制模块;230-接入配置模块;240-发送报文模块;250-切换模块;300-电子设备;311-存储器;312-存储控制器;313-处理器;314-外设接口;315-输入输出单元;316-显示单元。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在介绍本申请实施例前,首先对本申请涉及的技术概念作简要介绍。
Web认证:用户分配一个地址,用于访问门户网站,在登录窗口上键入用户名与密码,然后通过Radius客户端去Radius服务器认证,如认证通过,则触发客户端重新发起地址分配请求,给用户分配一个可以访问外网的地址,用户下线时通过客户端发起离线请求。Web认证不需要特殊的客户端软件,可降低网络维护工作量,可以提供Portal等业务认证。
SNMP(Simple Network Management Protocol:简单网络管理协议):用于在网络管理系统和被管理对象中的代理之间传递管理信息,是管理进程(NMS)和代理进程(Agent)之间的通信协议,协议简单,可靠,成为目前众多厂商的网管协议。其基本组件分为:网络管理系统(NMS)、代理进程(Agent)、被管理对象(Managed Object)、管理信息库(MIB)。网络管理系统运行应用程序,以该应用程序监视并控制被管理的设备,也称为管理实体(managingentity),网络管理员在这儿与网络设备进行交互;网络管理系统提供网络管理需要的大量运算和记忆资源;一个被管理的网络可能存在一个以上的网络管理系统。被管理的设备是一个网络节点,它包含一个存在于被管理的网络中的SNMP代理者;被管理的设备通过管理信息库(MIB)收集并存储管理信息,并且让网络管理系统能够通过SNMP代理者取得这项信息。代理者是一种存在于被管理的设备中的网络管理软件模块,代理者控制本地机器的管理信息,以和SNMP兼容的格式传送这项信息。每个SNMP设备(Agent)都有自己的MIB,NMS可以对MIB库中的对象的值进行读取或者设置。MIB也可以看作是NMS和Agent之间的沟通桥梁。SNMP采用UDP协议在管理端和Agent之间传输信息。
代理进程(Agent):是被管理设备中的一个代理进程,用于维护被管理设备的信息数据并响应来自NMS的请求。Agent接收到NMS的请求信息后,通过MIB表完成相应指令后,并把操作结果相应给NMS。
管理信息库(MIB):任何一个被管理的资源称为被管理的对象,MIB是被管理对象的集合。其定义了被管理对象的一系列属性:对象的名称、对象的访问权限和对象的数据类型等等。
VLAN(Virtual Local Area Network:虚拟局域网):是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。由于交换机端口有两种VLAN属性,其一是VLANID,其二是VLANTAG,分别对应VLAN对数据包设置VLAN标签和允许通过的VLANTAG(标签)数据包,不同VLANID端口,可以通过相互允许VLANTAG,构建VLAN。
本申请发明人注意到,在基础网络环境下,大多数情况下网络无需进行大量改造,只需要将NAC设备旁挂到交换机上(核心、汇聚或接入),保证NAC设备到需要做准入控制的接入交换机(支持开启802.1x的交换机)之间能够互通。此方案可以具体介绍如下:根据网络部署图完成网络部署,配置交换机dot1x网络准入功能,配置好网络安全准入服务器,完成基本准备工作(包括认证用户申请和资源信息对应VLAN分配等),即可开始终端网络准入认证。由于交换机开启802.1x网络准入功能,在终端未准入认证成功之前,终端通信数据只能通过eap数据,其他报文均无法通过,在认证成功之后,认证终端能够进行正常通信。基本认证流程如下:
1)用户有上网需求,打开认证客户端程序,客户端发送EAPOL-Start报文,主动触发认证流程。
2)交换机收到客户端发来的请求认证报文,回应一个请求帧(EAP-Request/identity报文)请求客户端发送准入的用户名。
3)客户端收到该请求帧后,将用户名信息通过数据帧(EAP-Response/Identity报文)发送给交换机。交换机将收到的数据帧经过封包处理通过(RADIUS Access-Request报文)发送给认证服务器。
4)RADIUS服务器收到交换机转发来的用户名信息后,将该信息与LDAP数据库中的用户名对比,找到该用户名对应的密码信息,用随机生成的一个加密字对它进行加密处理,同时也将该加密字通过(RADIUS Access-Challenge报文)发送给交换机,由交换机转发给客户端。
5)客户端收到交换机转发来的加密字(EAP-Request/MD5 Challenge报文)后,用收到的加密字对密码部分使用与服务器端相同的加密算法进行加密处理,生成(EAP-Response/MD5 Challenge报文),将该报文通过交换机转发给认证服务器。
6)认证服务器收到已加密的密码信息(RADIUS Access-Request报文)和自己经过加密运算的认证密码信息进行对比,对比结果相同则认为该用户为合法用户,回应认证通过消息(RADIUS Access-Accept报文和EAP-Success报文),同时在RADIUS Access-Accept报文下发设置VLAN信息,交换机根据VLAN信息切换终端VLAN。
7)交换机收到认证通过的消息后将端口改为授权状态,允许用户通过该端口进行网络访问。可见,上述802.1X认证的方案实现资源访问控制存在以下弊端:需要对每一台终端安装客户端,增加实施操作,部署不方便;用户在使用时还需要输入用户名、密码等进行认证的相关操作;客户端在终端上会额外消耗控制力度终端资源,尤其在一些老旧终端上。有鉴于此,本申请实施例提供了一种如下介绍的网络资源访问控制方法。
请参阅图1,图1为本申请实施例提供的一种网络资源访问控制方法的流程图。下面对本实施例的具体流程进行详细阐释。该网络资源访问控制方法应用于包括终端和服务器端的系统,终端与服务器端通信连接,该方法包括:步骤100、步骤120、步骤140、步骤160和步骤180。
步骤100:由终端,连接网络交换机,并在网络交换机中配置报文消息模式;
步骤120:由终端,基于报文消息模式,向服务器端发送报文消息;
步骤140:由服务器端,对终端发送的报文消息进行解析,获得终端网络信息;其中,终端网络信息包括:终端的物理地址和终端的状态信息;
步骤160:由服务器端,根据终端的状态信息,控制终端的物理地址进行对应的VLAN切换,以使终端访问对应VLAN中的网络资源;
步骤180:由终端,接收服务器端发送的简单网络管理协议控制指令,并对终端的物理地址进行对应VLAN切换,以访问对应VLAN中的网络资源。
示例性地,该系统架构可包括服务器端(服务端)和多个终端,多个终端与该服务器端之间通信连接。通信连接的方式可以是基于物理地址划分虚拟局域网(VLAN)的网络交换机,该网络交换机上可配置报文消息模式,例如:snmp trap模式;同时可在网络交换机上设置访客区、研发区、测试区、隔离区等不同区域终端设备的VLAN信息。该多个终端可以是:手机,笔记本,电脑,个人数字助理(英文:Personal DigitalAssistant,PDA)、车载电脑等任意终端设备;终端设备的操作系统可以是:Windows系列操作系统、Unix类操作系统、Linux类操作系统、MAC操作系统等操作系统。服务器端可以是:对终端发送的报文进行解析,并对应发送控制指令控制VLAN切换的服务器硬件系统;其中,服务器硬件系统可以由上述几种操作系统在软件层面进行运行和执行。
简单网络管理协议控制指令可以是SNMP中几种用于控制MIB对象的基本操作命令,分别为Get、Set和Trap。Get指令可以是:NMS(网络管理系统)读取Agent(代理进程)处的对象的值。Set指令可以是:NMS设置Agent的对象值。Trap指令可以是:Agent主动向NMS通报重要事件,Trap消息可以用来通知NMS线路的故障、连接的终端和回复、认证失败等消息。SNMP Trap可以是:某种入口,使用的端口号为:162,到达该入口会使被管理设备(Agent)主动通知网络管理系统(NMS),而不是等待NMS(网络管理系统)的再次轮询;SNMP Trap是SNMP的一部分,当被监控段出现特定事件,可能是性能问题,甚至是网络设备接口宕掉等,Agent主动的向NMS主动发送消息。物理地址可以称为MAC地址,表示媒体访问控制,或称为硬件地址,用来定义终端网络设备的位置,在OSI模型中,第三层网络层负责IP地址,第二层数据链路层则负责MAC地址;因此一个主机会有一个MAC地址,而每个网络位置会有一个专属于它的IP地址,而MAC地址是网卡决定的,是固定的。
可选地,如图2所示,报文消息模式以snmp trap模式为例,根据网络部署图完成网络部署,终端设备连接到接入层基于MAC地址划分VLAN虚拟局域网的交换机;交换机向服务器发送MAC地址变化trap消息;其中,在交换机中配置snmp trap模式时,可以具体配置如下几种情况触发消息上报:coldstart、linkdown、linkup、warmstart等,本申请实施例可配置:linkdown(下线)和linkup(上线),当终端开机时,交换机会发送linkup消息给服务端,当终端关机时,交换机会发送linkdown消息给服务端。同时配置交换机:开启snmp trap功能,设置访客区、研发区、测试区、隔离区等VLAN信息,并将隔离区VLAN绑定重定向url,且url中携带终端MAC地址;在隔离区进行注册设备地址信息的操作的原因是:当终端处于隔离VLAN访问网页时,交换机会根据此时的信息将网页重定向到指定的url中,同时该url中会携带对应终端的MAC地址,可以免除让用户输入终端的MAC地址。
serverA和serverB可以是服务端中相互独立的两个模块,它们的功能是进行消息的处理。例如serverA只负责trap消息的解析,serverB负责进行MAC的VLAN切换,服务器中serverA解析trap消息,提取到交换机IP、端口、终端MAC地址、终端状态信息,将该信息发送给serverB;服务器中serverB收到该信息,根据终端的状态信息以及交换机IP,发送控制指令控制终端的物理地址对应IP的交换机进行对应的VLAN切换。
通过基于简单网络管理协议发送报文到服务器端,服务器端收到报文信息进行解析,获取到物理地址、上线/下线等状态信息,在服务器端通过简单网络管理协议控制指令控制物理地址进行VLAN切换,以达到网路资源的访问控制,实现能够使用户在无操作、无感知的情况下,进行网路资源的访问控制,提高了网络资源访问的效率,提升了用户使用体验感。
请参阅图3,图3为本申请实施例提供的应用于服务器端的网络资源访问控制方法的流程图。下面对本实施例的具体流程进行详细阐释。该方法应用于服务器端,服务器端与终端通信连接,该方法包括:步骤110和步骤111。
步骤110:对终端发送的报文消息进行解析,获得终端网络信息;其中,终端网络信息包括:终端的物理地址和终端的状态信息;
步骤111:根据终端的状态信息,控制终端的物理地址进行对应的VLAN切换,以使终端访问对应VLAN中的网络资源。
示例性地,报文消息可以是终端发送的snmp trap形式的报文数据包信息。serverA和serverB可以是服务端中相互独立的两个模块,它们的功能是进行消息的处理,serverA负责trap消息的解析,serverB负责进行MAC的VLAN切换,服务器中serverA解析trap消息,对终端发送的报文消息进行解析,即对snmp trap报文解析进而提取到相关信息,包括:交换机IP、端口、终端MAC地址、终端状态信息等。serverA将解析后的相关信息发送给serverB,服务器中serverB收到该信息,根据终端的状态信息以及交换机IP,发送控制指令控制终端的物理地址对应IP的交换机进行对应的VLAN切换。
由于不同交换机的产品型号,MIB节点不一致,提取的关键点也不一样,在对snmptrap消息进行解析时,不同企业生产的交换机的所提取的参数是不同的,在serverA模块中有进行提取。例如:企业A的MIB节点是:1.3.6.1.4.1.2011.5.25.315.3.1;企业B的MIB节点:1.3.6.1.4.1.25506.2.87.1.4.2.4.0;企业C的MIB节点:1.3.6.1.4.1.9.9.215.1.1.8.1.2;企业D的MIB节点:1.3.6.1.4.1.9.9.215.1.1.8.1.2。
通过应用于服务器端的网络资源访问控制方法,基于简单网络管理协议接收报文信息进行解析,获取到物理地址、上线/下线等状态信息,发送简单网络管理协议控制指令控制物理地址进行VLAN切换,以达到网路资源的访问控制,实现能够使用户在无操作、无感知的情况下,进行网路资源的访问控制,提高了网络资源访问的效率,提升了用户使用体验感。
在一个实施例中,终端的状态消息包括:下线消息;步骤111可以包括:步骤1111和步骤1112。
步骤1111:若终端的状态消息为下线消息,则向终端发送简单网络管理协议控制指令;
步骤1112:基于简单网络管理协议控制指令,控制终端将终端的物理地址进行探测VLAN切换。
示例性地,探测VLAN可以是让处于此虚拟局域网中的终端设备处于访问网络资源的准备状态。网络交换机根据linkdown和linkup的功能进行消息的上报,其报文中会有相关字段含义展示,例如:integer(1)表示上线,integer(2)表示下线。如图2所示,若判定收到的终端状态消息为下线消息,则向终端发送对应的snmp set指令,控制终端的该物理地址切换到探测VLAN中,具体地:如果是下线消息,serverB通过snmp方式给网络交换机发送基于MAC的VLAN切换指令,切换到探测VLAN中。当解析到报文消息为下线消息时,切换到探测VLAN中的原因是:下线的时候,说明终端设备可能是关机状态,也可能是网线拔掉状态,切换到探测VLAN,方便下次重新进行切换。
通过对报文消息进行解析,判定终端的状态消息为下线消息后,给网络交换机发送对应VLAN切换指令切换到探测VLAN中,使得终端设备在关机状态或网线拔掉状态时,能够方便下次重新进行切换,提高了网络资源访问的效率,提高了访问控制的科学性。
在一个实施例中,终端的状态消息包括:上线消息;步骤111可以包括:步骤1113、步骤1114和步骤1115。
步骤1113:若终端的状态消息为上线消息,则判断终端的物理地址是否在网络资产列表中;
步骤1114:若判定终端的物理地址在网络资产列表中,则向终端发送简单网络管理协议控制指令;
步骤1115:基于简单网络管理协议控制指令,控制终端将终端的物理地址进行网络资产列表中的指定VLAN切换。
示例性地,网络资产列表可以是服务端中对网络资产进行管控的一张表,管理员可以对这张表进行增删改查等操作设置设备的信息。网络资产列表的存在是为了对资产进行管控。上线消息表示该设备想上网,但是如果该设备不在该网络资产列表中,说明该设备不是合法设备,但是又想上网,因此需要进行注册,只有注册之后,管理员审核之后变成合法设备才可以正常访问。指定VLAN可以是网络资产列表中允许访问相关网络资产的虚拟局域网。
启动准入系统,在资产管理中添加资产信息,设置资产所处区域,该区域可以包括:访客区、研发区、测试区、隔离区等VLAN信息。也可以通过用户注册申请,管理员进行审核划分区域。如图2所示,如果报文中相关字段含义展示integer(1),即表示是上线消息,serverB则进一步判断该MAC地址是否在资产列表中,如果在资产列表中,获取该MAC地址处的VLAN信息,然后切换到对应指定VLAN中。可选地,当设备上线时,准入系统检测到设备上线,如果在网络资产列表中,则会将该资产划分到对应VLAN区域内。
通过对报文消息进行解析,判定终端的状态消息为上线消息后,进一步判断该MAC地址是否在网络资产列表中,如果在网络资产列表中,给网络交换机发送对应VLAN切换指令切换到指定VLAN中,实现了上线状态的终端设备的快速访问,提高了网络资源访问的效率,提高了访问控制的科学性。
在一个实施例中,终端的状态消息包括:上线消息;步骤1113之后,步骤111还可以包括:步骤1116和步骤1117。
步骤1116:若判定终端的物理地址不在网络资产列表中,则向终端发送简单网络管理协议控制指令;
步骤1117:基于简单网络管理协议控制指令,控制终端将终端的物理地址进行隔离VLAN切换。
示例性地,隔离VLAN可以是让处于此虚拟局域网中的终端设备处于访问网络资源的注册状态,将设备的MAC地址注册到网络资产列表中。隔离VLAN与探测VLAN区别含义是所处VLAN不同,对应的网络资源不一样,隔离VLAN中所处的资源是为了进行设备注册。设置隔离VLAN的同时也在该VLAN中绑定了重定向url功能且携带终端的MAC地址,目的是为了当终端处于隔离VLAN时,访问网页时,交换机会根据此时的信息将网页重定向到指定的url中,同时该url中会携带对应终端的MAC地址,可以免除让用户输入终端的MAC地址。
如果该MAC地址不在网络资产列表中,serverB将该MAC地址切换到隔离VLAN中。可选地,准入系统切换到隔离VLAN中,用户在浏览器输入任何网址会被重定向到注册的url中,用户进行注册申请,填写访问的网络资源区域。管理员进行审核,审核通过则划分到指定VLAN区域,同时也可以设置资源访问的时间天数,超过设置的天数,则删除资产信息,并将该资产划分到探测VLAN中。审核不通过,则切换到隔离VLAN中,禁止网络资源的访问;当设备下线时,准入系统检测到设备下线时,准入系统将该资产切换到探测VLAN中,等待下次设备的上线。
如图2所示,当终端在隔离VLAN时,用户在浏览器地址栏中随便输入一个网址,交换机会将其重定向到注册界面进行信息注册,注册成功之后,切换到对应指定的VLAN中,就可以正常的进行网络资源访问。
通过对报文消息进行解析,判定终端的状态消息为上线消息后,进一步判断该MAC地址是否在网络资产列表中,如果不在网络资产列表中,则给网络交换机发送对应VLAN切换指令切换到隔离VLAN中进行设备的注册,实现了上线状态的终端设备的快速注册、快速访问,提高了网络资源访问的效率,提高了访问控制的科学性。
在一个实施例中,简单网络管理协议控制指令包括:snmp set指令。
示例性地,snmp set指令可以是SNMP中用于控制MIB对象的创建、删除等操作命令。在MAC地址进行VLAN切换时,MAC地址采用点分十进制。例如:0000-1111-2222对应的点分十进制为0.0.17.34.34.34;
创建MAC地址所处的VLAN的snmp set指令可以是:“snmpset-v2c-c读写共同体交换机IP 1.3.6.1.4.1.2011.5.25.42.3.1.2.28.1.4.0.0.17.34.34.34i 41.3.6.1.4.1.2011.5.25.42.3.1.2.28.1.2.0.0.17.34.34.34i VLAN”;
删除MAC地址所处VLAN的snmp set指令可以是:“snmpset-v2c-c读写共同体交换机IP 1.3.6.1.4.1.2011.5.25.42.3.1.2.28.1.4.0.0.17.34.34.34i 6”。
通过使用snmp set指令实现对终端物理地址隔离VLAN、探测VLAN和指定VLAN的切换,提高了网络资源访问的效率,提高了访问控制的科学性。
请参阅图4,图4为本申请实施例提供的一种应用于终端的网络资源访问控制方法的流程图。下面对本实施例的具体流程进行详细阐释。该方法应用于终端,终端与服务器端通信连接,该方法包括:步骤150、步骤151和步骤152。
步骤150:连接网络交换机,并在网络交换机中配置报文消息模式;
步骤151:基于报文消息模式,向服务器端发送报文消息;
步骤152:接收服务器端发送的简单网络管理协议控制指令,并对终端的物理地址进行对应VLAN切换,以访问对应VLAN中的网络资源。
示例性地,在接入的网络交换机中配置snmp trap功能,当终端接入交换机上线或下线时,接入交换机会感知到MAC表的变化,向指定的服务端中发送snmp trap报文,服务端解析该报文信息,可以获取到终端设备的MAC地址,上线/下线等信息。接入过程中,不用考虑终端设备的信息配置,只需要在交换机上配置snmp trap模式,在交换机中配置snmptrap模式时,可以配置linkdown和linkup触发消息上报,当终端开机时,交换机会发送linkup消息(上线)给服务端,当终端关机时,交换机会发送linkdown消息(下线)给服务端。
通过应用于终端的网络资源访问控制方法,在交换机中配置报文消息模式向服务器端发送报文消息,并接收服务器端发送的简单网络管理协议控制指令控制物理地址进行VLAN切换,以达到网路资源的访问控制,实现能够使用户在无操作、无感知的情况下,进行网路资源的访问控制,提高了网络资源访问的效率,提升了用户使用体验感。
请参阅图5,图5为本申请实施例提供的一种应用于服务器端的网络资源访问控制装置的模块示意图,该装置应用于服务器端,服务器端与终端通信连接,该装置包括:解析报文模块210、控制模块220。
解析报文模块210,用于对终端发送的报文消息进行解析,获得终端网络信息;其中,终端网络信息包括:终端的物理地址和终端的状态信息;
控制模块220,用于根据终端状态信息,控制终端的物理地址进行对应的VLAN切换,以使终端访问对应VLAN中的网络资源。
可选地,终端的状态消息包括:下线消息;控制模块220可以用于:
若终端的状态消息为下线消息,则向终端发送简单网络管理协议控制指令;
基于简单网络管理协议控制指令,控制终端将终端的物理地址进行探测VLAN切换。
可选地,终端的状态消息包括:上线消息;控制模块220可以用于:
若终端的状态消息为上线消息,则判断终端的物理地址是否在网络资产列表中;
若判定终端的物理地址在网络资产列表中,则向终端发送简单网络管理协议控制指令;
基于简单网络管理协议控制指令,控制终端将终端的物理地址进行网络资产列表中的指定VLAN切换。
可选地,终端的状态消息包括:上线消息;控制模块220可以用于:
若判定终端的物理地址不在网络资产列表中,则向终端发送简单网络管理协议控制指令;
基于简单网络管理协议控制指令,控制终端将终端的物理地址进行隔离VLAN切换。
可选地,简单网络管理协议控制指令包括:snmp set指令。
请参阅图6,图6为本申请实施例提供的一种应用于终端的网络资源访问控制装置的模块示意图,该装置应用于终端,终端与服务器端通信连接,该装置包括:接入配置模块230、发送报文模块240和切换模块250。
接入配置模块230,用于连接网络交换机,并在网络交换机中配置报文消息模式;
发送报文模块240,用于基于报文消息模式,向服务器端发送报文消息;
切换模块250,用于接收服务器端发送的简单网络管理协议控制指令,并对终端的物理地址进行对应VLAN切换,以访问对应VLAN中的网络资源。
请参阅图7,图7是电子设备的方框示意图。电子设备300可以包括存储器311、存储控制器312、处理器313、外设接口314、输入输出单元315、显示单元316。本领域普通技术人员可以理解,图7所示的结构仅为示意,其并不对电子设备300的结构造成限定。例如,电子设备300还可包括比图7中所示更多或者更少的组件,或者具有与图7所示不同的配置。
上述的存储器311、存储控制器312、处理器313、外设接口314、输入输出单元315、显示单元316各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。上述的处理器313用于执行存储器中存储的可执行模块。
其中,存储器311可以是,但不限于,随机存取存储器(Random Access Memory,简称RAM),只读存储器(Read Only Memory,简称ROM),可编程只读存储器(ProgrammableRead-Only Memory,简称PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,简称EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,简称EEPROM)等。其中,存储器311用于存储程序,所述处理器313在接收到执行指令后,执行所述程序,本申请实施例任一实施例揭示的过程定义的电子设备300所执行的方法可以应用于处理器313中,或者由处理器313实现。
上述的处理器313可能是一种集成电路芯片,具有信号的处理能力。上述的处理器313可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(digital signalprocessor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
上述的外设接口314将各种输入/输出装置耦合至处理器313以及存储器311。在一些实施例中,外设接口314,处理器313以及存储控制器312可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
上述的输入输出单元315用于提供给用户输入数据。所述输入输出单元315可以是,但不限于,鼠标和键盘等。
上述的显示单元316在电子设备300与用户之间提供一个交互界面(例如用户操作界面)给用户参考。在本实施例中,所述显示单元316可以是液晶显示器或触控显示器。液晶显示器或触控显示器可以对处理器执行所述程序的过程进行显示。
本实施例中的电子设备300可以用于执行本申请实施例提供的各个方法中的各个步骤。
此外,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法实施例中的步骤。
本申请实施例所提供的上述方法的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行上述方法实施例中的步骤,具体可参见上述方法实施例,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。在本申请实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种网络资源访问控制方法,其特征在于,应用于服务器端;所述服务器端与终端通信连接;所述方法包括:
对终端发送的报文消息进行解析,获得终端网络信息;其中,所述终端网络信息包括:终端的物理地址和终端的状态信息;
根据所述终端的状态信息,控制所述终端的物理地址进行对应的VLAN切换,以使终端访问对应VLAN中的网络资源。
2.根据权利要求1所述的方法,其特征在于,其中,所述终端的状态消息包括:下线消息;所述根据所述终端的状态信息,控制所述终端的物理地址进行对应的VLAN切换,包括:
若所述终端的状态消息为下线消息,则向终端发送简单网络管理协议控制指令;
基于所述简单网络管理协议控制指令,控制所述终端将终端的物理地址进行探测VLAN切换。
3.根据权利要求1所述的方法,其特征在于,其中,所述终端的状态消息包括:上线消息;所述根据所述终端的状态信息,控制所述终端的物理地址进行对应的VLAN切换,包括:
若所述终端的状态消息为上线消息,则判断所述终端的物理地址是否在网络资产列表中;
若判定所述终端的物理地址在所述网络资产列表中,则向终端发送简单网络管理协议控制指令;
基于所述简单网络管理协议控制指令,控制所述终端将终端的物理地址进行所述网络资产列表中的指定VLAN切换。
4.根据权利要求3所述的方法,其特征在于,所述若所述终端的状态消息为上线消息,则判断所述终端的物理地址是否在所述网络资产列表中之后,所述根据所述终端的状态信息,控制所述终端的物理地址进行对应的VLAN切换,还包括:
若判定所述终端的物理地址不在网络资产列表中,则向终端发送简单网络管理协议控制指令;
基于所述简单网络管理协议控制指令,控制所述终端将终端的物理地址进行隔离VLAN切换。
5.根据权利要求2-4任一所述的方法,其特征在于,其中,所述简单网络管理协议控制指令包括:snmp set指令。
6.一种网络资源访问控制方法,其特征在于,应用于终端;所述终端与服务器端通信连接;所述方法包括:
连接网络交换机,并在所述网络交换机中配置报文消息模式;
基于所述报文消息模式,向服务器端发送报文消息;
接收服务器端发送的简单网络管理协议控制指令,并对所述终端的物理地址进行对应VLAN切换,以访问对应VLAN中的网络资源。
7.一种网络资源访问控制方法,其特征在于,应用于包括终端和服务器端的系统;所述终端与所述服务器端通信连接;所述方法包括:
由所述终端,连接网络交换机,并在所述网络交换机中配置报文消息模式;
由所述终端,基于所述报文消息模式,向所述服务器端发送报文消息;
由所述服务器端,对所述终端发送的报文消息进行解析,获得终端网络信息;其中,所述终端网络信息包括:终端的物理地址和终端的状态信息;
由所述服务器端,根据所述终端的状态信息,控制所述终端的物理地址进行对应的VLAN切换,以使终端访问对应VLAN中的网络资源;
由所述终端,接收服务器端发送的简单网络管理协议控制指令,并对所述终端的物理地址进行对应VLAN切换,以访问对应VLAN中的网络资源。
8.一种网络资源访问控制装置,其特征在于,应用于服务器端;所述服务器端与终端通信连接,所述装置包括:
解析报文模块,用于对终端发送的报文消息进行解析,获得终端网络信息;其中,所述终端网络信息包括:终端的物理地址和终端的状态信息;
控制模块,用于根据所述终端的状态信息,控制所述终端的物理地址进行对应的VLAN切换,以使终端访问对应VLAN中的网络资源。
9.一种网络资源访问控制装置,其特征在于,应用于终端;所述终端与服务器端通信连接;所述装置包括:
接入配置模块,用于连接网络交换机,并在所述网络交换机中配置报文消息模式;
发送报文模块,用于基于所述报文消息模式,向服务器端发送报文消息;
切换模块,用于接收服务器端发送的简单网络管理协议控制指令,并对所述终端的物理地址进行对应VLAN切换,以访问对应VLAN中的网络资源。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1至7任一所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211691197.9A CN116015888A (zh) | 2022-12-27 | 2022-12-27 | 网络资源访问控制方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211691197.9A CN116015888A (zh) | 2022-12-27 | 2022-12-27 | 网络资源访问控制方法、装置及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116015888A true CN116015888A (zh) | 2023-04-25 |
Family
ID=86018733
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211691197.9A Pending CN116015888A (zh) | 2022-12-27 | 2022-12-27 | 网络资源访问控制方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116015888A (zh) |
-
2022
- 2022-12-27 CN CN202211691197.9A patent/CN116015888A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10313350B2 (en) | Remote access to resources over a network | |
US8856292B2 (en) | Managing command compliance in internetworking devices | |
US7853682B2 (en) | System and method for consolidating, securing and automating out-of-band access to nodes in a data network | |
US7934258B2 (en) | System and method for remote authentication security management | |
US9374353B2 (en) | Enabling dynamic authentication with different protocols on the same port for a switch | |
US7779469B2 (en) | Provisioning an operating environment of a remote computer | |
US20220200991A1 (en) | Method & device for determining network device status | |
US8219496B2 (en) | Method of and apparatus for ascertaining the status of a data processing environment | |
US8756654B2 (en) | Trusted network management method of trusted network connections based on tri-element peer authentication | |
CN108900484B (zh) | 一种访问权限信息的生成方法和装置 | |
CN106878139A (zh) | 基于802.1x协议的认证逃生方法及装置 | |
CN116015888A (zh) | 网络资源访问控制方法、装置及存储介质 | |
US7673025B2 (en) | Controlling access message flow | |
Cisco | Release Notes for Cisco Aironet Access Points and 350 Series Bridges | |
US20240163668A1 (en) | Apparatuses, computer-implemented methods, and computer program products for managing access of wireless nodes to a network | |
JP2010187223A (ja) | 認証サーバ | |
US20120198082A1 (en) | Automatic Fallback Communication Mechanism | |
CN114826668B (zh) | 一种采集在线终端信息的方法、设备、存储介质 | |
Carthern et al. | Management Plane | |
Hicks et al. | Troubleshooting | |
CN115633352A (zh) | 一种终端准入自动控制装置及方法 | |
Terefenko | Local Area Network Management with use of Simple Network Management Protocol over Microsoft Windows Operating System |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |