基于智能交換機(jī)物理端口和mac地址的接入控制方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于智能交換機(jī)物理端口和MAC地址的接入控制方法，包括：步驟1，從建立SNMP協(xié)議連接的接入交換機(jī)上讀取MAC表數(shù)據(jù)；步驟2，將獲得的數(shù)據(jù)發(fā)送給數(shù)據(jù)歸并模塊；步驟3，數(shù)據(jù)歸并模塊對SNMP采集來的數(shù)據(jù)進(jìn)行歸并處理，并發(fā)送給過濾器A；步驟4，數(shù)據(jù)歸并模塊將歸并后的數(shù)據(jù)發(fā)送給過濾器B；步驟5，過濾器A確定新增加的MAC，并將該新增加的MAC對應(yīng)的MAC-PORT發(fā)送給MAC認(rèn)證模塊；步驟6，確定減少的MAC，將離線狀態(tài)寫入MAC認(rèn)證庫；步驟7，過濾器A以接收的數(shù)據(jù)刷新MAC/PORT緩存；步驟8，MAC認(rèn)證模塊檢索收到的MAC是否已經(jīng)在MAC認(rèn)證庫中，以確定設(shè)備是否合法。
【專利說明】基于智能交換機(jī)物理端口和MAC地址的接入控制方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及終端接入【技術(shù)領(lǐng)域】，具體涉及一種基于智能交換機(jī)物理端口和MAC地址的接入控制方法和系統(tǒng)。
【背景技術(shù)】
[0002]現(xiàn)有接入控制技術(shù)，主要有四種:①802.1x準(zhǔn)入控制、②基于DHCP準(zhǔn)入控制、③基于網(wǎng)關(guān)的準(zhǔn)入控制、④基于ARP強(qiáng)制技術(shù)，不同的技術(shù)采用不同的接入控制點(diǎn)實(shí)現(xiàn)接入的開啟和關(guān)閉。①的控制點(diǎn)在交換機(jī)的協(xié)議端口上，準(zhǔn)入關(guān)閉狀態(tài)，除了 EAP協(xié)議外，所有的協(xié)議端口都關(guān)閉，客戶端只能通過EAP協(xié)議與認(rèn)證服務(wù)端通訊完成接入認(rèn)證過程，接入開啟狀態(tài)則交換機(jī)協(xié)議端口全部打開，終端接入網(wǎng)絡(luò)；②的準(zhǔn)入控制點(diǎn)在網(wǎng)段的網(wǎng)關(guān)地址上，即在網(wǎng)關(guān)的IP上，通過給終端分配不同的IP地址，使終端進(jìn)入不同的網(wǎng)段，當(dāng)分配了錯誤或不存在網(wǎng)關(guān)的網(wǎng)段IP后，終端不能通過網(wǎng)關(guān)訪問本網(wǎng)段以外的地址，將終端通訊限制在本網(wǎng)段內(nèi)，即為準(zhǔn)入關(guān)閉狀態(tài)；當(dāng)終端被分配了正常的IP地址，終端進(jìn)入擁有合法網(wǎng)關(guān)地址的網(wǎng)段，終端即可以進(jìn)行正常的網(wǎng)絡(luò)訪問，即為準(zhǔn)入開啟狀態(tài)；③的控制點(diǎn)是網(wǎng)關(guān)設(shè)備本身，通過將網(wǎng)關(guān)設(shè)備插入網(wǎng)絡(luò)鏈路中，攔截通過的終端數(shù)據(jù)，終端安裝了與網(wǎng)關(guān)配套的客戶端且符合網(wǎng)關(guān)的策略要求，就放行終端的通訊，即準(zhǔn)入開啟狀態(tài)；沒有安裝客戶端或安全策略未合規(guī)的終端數(shù)據(jù)被網(wǎng)關(guān)攔截，不能通過網(wǎng)關(guān)，即為準(zhǔn)入關(guān)閉狀態(tài)；④的控制點(diǎn)和②類似，也是網(wǎng)關(guān)IP地址，實(shí)現(xiàn)方法略有不同，通過ARP協(xié)議給終端分配不存在的網(wǎng)關(guān)地址，造成終端不能正常通訊，即為準(zhǔn)入關(guān)閉狀態(tài)；通過ARP協(xié)議給終端分配正常的網(wǎng)關(guān)地址，終端即可正常通訊，即為準(zhǔn)入開啟狀態(tài)。
[0003]這四種技術(shù)都存在各自的問題和缺陷，①依賴支持802.1x協(xié)議的交換機(jī)，普通交換機(jī)上不能實(shí)現(xiàn)，成本高昂；存在接入尾隨問題要求終端采用DHCP分配IP地址，對固定分配地址的終端無效；③依賴網(wǎng)關(guān)設(shè)備本身能力，存在網(wǎng)絡(luò)瓶頸和單點(diǎn)故障風(fēng)險；改變網(wǎng)絡(luò)結(jié)構(gòu)，控制范圍受網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)影響；對網(wǎng)關(guān)以下的局域網(wǎng)沒有準(zhǔn)入控制作用，僅能控制準(zhǔn)出；④是純軟手段，實(shí)際上是ARP欺騙，有多種方法更改該方法分配給終端的網(wǎng)關(guān)地址，而致控制失效；其類似ARP攻擊的特征，會被眾多的個人防火墻軟件攔截，不能發(fā)揮作用。

【發(fā)明內(nèi)容】

[0004](一)要解決的技術(shù)問題
[0005]為了克服現(xiàn)有技術(shù)存在的問題，本發(fā)明提出一種基于智能交換機(jī)物理端口和MAC地址的接入控制方法和系統(tǒng)。
[0006]( 二 )技術(shù)方案
[0007]根據(jù)本發(fā)明的一個方面，提出了一種基于智能交換機(jī)物理端口和MAC地址的接入控制方法，該方法包括步驟:步驟1，從已經(jīng)建立SNMP協(xié)議連接的接入交換機(jī)上，讀取連接交換機(jī)MAC表數(shù)據(jù)，該數(shù)據(jù)包括MAC-PORT對應(yīng)關(guān)系；步驟2，將獲得的MAC表數(shù)據(jù)發(fā)送給數(shù)據(jù)歸并模塊；步驟3，數(shù)據(jù)歸并模塊對SNMP采集來的數(shù)據(jù)進(jìn)行歸并處理，從不同交換機(jī)的數(shù)據(jù)格式歸并出MAC-PORT格式，同時發(fā)送給過濾器A ;步驟4，數(shù)據(jù)歸并模塊將歸并后的數(shù)據(jù)發(fā)送給過濾器B ;步驟5，過濾器A將從數(shù)據(jù)歸并模塊收到的數(shù)據(jù)與MAC/P0RT緩存中前一周期緩存的數(shù)據(jù)比較，確定新增加的MAC，并將該新增加的MAC對應(yīng)的MAC-PORT發(fā)送給MAC認(rèn)證模塊；步驟6，過濾器B將從數(shù)據(jù)歸并模塊接收的數(shù)據(jù)與MAC/P0RT緩存中前一周期緩存的數(shù)據(jù)比較，確定減少的MAC，以發(fā)現(xiàn)交換機(jī)上離線的設(shè)備，將離線狀態(tài)寫入MAC認(rèn)證庫；步驟7，過濾器A以本周期數(shù)據(jù)刷新MAC/P0RT緩存；步驟8，MAC認(rèn)證模塊檢索收到的MAC是否已經(jīng)在MAC認(rèn)證庫中，如果存在則認(rèn)證通過，如果不存在，說明該MAC接入設(shè)備不是合法設(shè)備。
[0008]根據(jù)本發(fā)明的另一方面，提出了一種基于智能交換機(jī)物理端口和MAC地址的接入控制系統(tǒng)，該系統(tǒng)包括:輪詢/TRAP模塊，用于從已經(jīng)建立SNMP協(xié)議連接的接入交換機(jī)上，讀取連接交換機(jī)MAC表數(shù)據(jù)，該數(shù)據(jù)包括MAC-PORT對應(yīng)關(guān)系，并將獲得的MAC表數(shù)據(jù)發(fā)送給數(shù)據(jù)歸并模塊；數(shù)據(jù)歸并模塊，用于對SNMP采集來的數(shù)據(jù)進(jìn)行歸并處理，從不同交換機(jī)的數(shù)據(jù)格式歸并出MAC-PORT格式，同時發(fā)送給過濾器A，并且將歸并后的數(shù)據(jù)發(fā)送給過濾器B;過濾器A，將從數(shù)據(jù)歸并模塊收到的數(shù)據(jù)與MAC/P0RT緩存中前一周期緩存的數(shù)據(jù)比較，確定新增加的MAC，將增加的MAC-PORT增加到MAC/P0RT緩存中，并將該新增加的MAC對應(yīng)的MAC-PORT發(fā)送給MAC認(rèn)證模塊；過濾器B，用于將從數(shù)據(jù)歸并模塊接收的數(shù)據(jù)與MAC/PORT緩存中前一周期緩存的數(shù)據(jù)比較，確定減少的MAC，以發(fā)現(xiàn)交換機(jī)上離線的設(shè)備，將離線狀態(tài)寫入MAC認(rèn)證庫；MAC認(rèn)證模塊，用于檢索收到的MAC是否已經(jīng)在MAC認(rèn)證庫中，如果存在則認(rèn)證通過，如果不存在，說明該MAC接入設(shè)備不是合法設(shè)備。
[0009](三)有益效果
[0010]本發(fā)明的方法以接入設(shè)備MAC為認(rèn)證標(biāo)識，以交換機(jī)物理端口為控制點(diǎn)，采用通用的SNMP協(xié)議，適用于所有的智能交換機(jī)，具有實(shí)施方便、成本低廉、適應(yīng)多種網(wǎng)絡(luò)環(huán)境、不改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、無單點(diǎn)故障風(fēng)險，準(zhǔn)入控制可靠的特點(diǎn)，交換機(jī)物理端口開啟即為準(zhǔn)入開啟狀態(tài)，關(guān)閉即為準(zhǔn)入關(guān)閉狀態(tài)，消除了接入尾隨問題，覆蓋完整的接入網(wǎng)范圍，與IP地址分配方式無關(guān)，有效避免了現(xiàn)有技術(shù)的缺陷。
【專利附圖】

【附圖說明】
[0011]圖1是本發(fā)明基于智能交換機(jī)物理端口和MAC地址的接入控制方法的流程圖。
[0012]圖2是本發(fā)明的MAC保護(hù)原理圖；
[0013]圖3是根據(jù)本發(fā)明在交換機(jī)端口被關(guān)閉后的處理原理圖。
【具體實(shí)施方式】
[0014]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白，以下結(jié)合具體實(shí)施例，并參照附圖，對本發(fā)明進(jìn)一步詳細(xì)說明。
[0015]對于網(wǎng)絡(luò)邊界接入的設(shè)備來說，只有基于交換機(jī)端口的管控才是最徹底的管控，只有基于接入設(shè)備MAC地址的認(rèn)證才能識別物理設(shè)備?；诳蛻舳塑浖?、VLAN和802.1X協(xié)議等業(yè)界流行的準(zhǔn)入認(rèn)證方法，本質(zhì)上都沒有實(shí)現(xiàn)接入邊界上的準(zhǔn)入控制，認(rèn)證未通過的接入設(shè)備實(shí)際上仍接入了網(wǎng)絡(luò)接入交換機(jī)，仍然可以在接入交換機(jī)或接入層實(shí)現(xiàn)數(shù)據(jù)通訊，是不徹底的接入管控方法。
[0016]以接入設(shè)備MAC地址為認(rèn)證標(biāo)識，以交換機(jī)物理端口為接入管控點(diǎn)，能夠?qū)崿F(xiàn)真正意義上的接入邊界嚴(yán)格管控。
[0017]圖1為本發(fā)明提出的基于智能交換機(jī)物理端口和MAC地址的接入控制方法的原理圖。參照圖1，該方法包括以下具體步驟:
[0018]步驟1，輪詢/TRAP模塊從已經(jīng)建立SNMP協(xié)議連接的接入交換機(jī)上，通過輪詢或TRAP方式讀取交換機(jī)的MAC表，其中包括MAC-PORT對應(yīng)關(guān)系。
[0019]SNMP是TCP/IP協(xié)議族的一部分。它通過用戶數(shù)據(jù)報協(xié)議(UDP)來操作。
[0020]使用SNMP進(jìn)行網(wǎng)絡(luò)管理需要下面幾個重要部分:管理基站，管理代理，管理信息庫和網(wǎng)絡(luò)管理工具。
[0021]管理基站通常是一個獨(dú)立的設(shè)備，它用作網(wǎng)絡(luò)管理者進(jìn)行網(wǎng)絡(luò)管理的用戶接口?；旧媳仨氀b備有管理軟件，管理員可以使用用戶接口和從MIB取得信息的數(shù)據(jù)庫，同時為了進(jìn)行網(wǎng)絡(luò)管理它應(yīng)該具備將管理命令發(fā)出基站的能力。
[0022]MIB是對象的集合，它代表網(wǎng)絡(luò)中可以管理的資源和設(shè)備。每個對象基本上是一個數(shù)據(jù)變量，它代表被管理的對象的一方面的信息。
[0023]SNMP的基本功能是:取得，設(shè)置和接收代理發(fā)送的意外信息。取得指的是基站發(fā)送請求，代理根據(jù)這個請求回送相應(yīng)的數(shù)據(jù)，設(shè)置是基站設(shè)置管理對象(也就是代理)的值，接收代理發(fā)送的意外信息是指代理可以在基站未請求的狀態(tài)下向基站報告發(fā)生的意外情況。
[0024]通過將SNMP嵌入數(shù)據(jù)通信設(shè)備，如路由器、交換機(jī)或集線器中，就可以從一個中心站管理這些設(shè)備，并以圖形方式查看信息。
[0025]一個被管理的設(shè)備有一個管理代理，它負(fù)責(zé)向管理站請求信息和動作，代理還可以借助于陷阱為管理站主動提供信息，因此，一些關(guān)鍵的網(wǎng)絡(luò)設(shè)備(如集線器、路由器、交換機(jī)等)提供這一管理代理，又稱SNMP代理，以便通過SNMP管理站進(jìn)行管理。
[0026]通過SNMP協(xié)議建立管理站到交換機(jī)的連接過程十分簡潔，在管理站軟件界面設(shè)置交換機(jī)的管理IP地址和與交換機(jī)一致的community，在交換機(jī)的命令行或圖形界面上設(shè)置管理站的IP地址和community，在UDP協(xié)議可達(dá)的網(wǎng)絡(luò)上即建立起管理站和交換機(jī)的連接，管理站可以籍此協(xié)議讀取、設(shè)置和接收交換機(jī)的狀態(tài)和配置數(shù)據(jù)。
[0027]交換機(jī)之所以能夠直接對目的節(jié)點(diǎn)發(fā)送數(shù)據(jù)包，最關(guān)鍵的技術(shù)就是交換機(jī)可以識別連在網(wǎng)絡(luò)上的節(jié)點(diǎn)的網(wǎng)卡MAC地址，并把它們放到一個叫做MAC地址表的地方。這個MAC地址表存放于交換機(jī)的緩存中，并記住這些地址，當(dāng)需要向目的地址發(fā)送數(shù)據(jù)時，交換機(jī)就可在MAC地址表中查找這個MAC地址的節(jié)點(diǎn)位置，然后直接向這個位置的節(jié)點(diǎn)發(fā)送。
[0028]交換機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)前必須知道它的每一個PORT所連接的主機(jī)的MAC地址，構(gòu)建出一個MAC地址表。當(dāng)交換機(jī)從某個PORT收到數(shù)據(jù)幀后，讀取數(shù)據(jù)幀中封裝的目的地MAC地址信息，然后查閱事先構(gòu)建的MAC地址表，找出和目的地地址相對應(yīng)的PORT，從該端口把數(shù)據(jù)轉(zhuǎn)發(fā)出去，其他端口則不受影響，這樣避免了與其它端口上的數(shù)據(jù)發(fā)生碰撞。
[0029]交換機(jī)MAC地址表是通過ARP協(xié)議建立的，地址解析協(xié)議，S卩ARP (AddressResolution Protocol)，是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。其功能是:主機(jī)將ARP請求廣播到網(wǎng)絡(luò)上的所有主機(jī)，并接收返回消息,確定目標(biāo)IP地址的物理地址，同時將IP地址和硬件地址存入本機(jī)ARP緩存中，下次請求時直接查詢ARP緩存。交換機(jī)在此過程中獲得主機(jī)的MAC地址，并與連接的端口 PORT對應(yīng)，存入緩存的MAC地址表。
[0030]步驟2，輪詢/TRAP模塊以設(shè)定的周期通過SNMP協(xié)議讀取交換機(jī)的MAC地址表數(shù)據(jù)，并將獲得的MAC表數(shù)據(jù)發(fā)送給數(shù)據(jù)歸并模塊。
[0031 ] 步驟3，數(shù)據(jù)歸并模塊對SNMP采集來的MAC表數(shù)據(jù)進(jìn)行歸并處理，從不同交換機(jī)的MAC表中提取出MAC-PORT，同時發(fā)送給“過濾器A”模塊。
[0032]步驟4，數(shù)據(jù)歸并模塊將歸并后的數(shù)據(jù)發(fā)送給“過濾器B”。
[0033]步驟5，“過濾器A”將本周期收到的數(shù)據(jù)與前一周期緩存的數(shù)據(jù)比較，過濾出增加的MAC，以發(fā)現(xiàn)新的設(shè)備接入，將該新發(fā)現(xiàn)的設(shè)備對應(yīng)的MAC-PORT發(fā)送給“MAC認(rèn)證模塊”。MAC/P0RT緩存是設(shè)定的數(shù)據(jù)緩沖區(qū)，用于臨時保存交換機(jī)MAC-PORT當(dāng)前的對應(yīng)關(guān)系數(shù)據(jù)，并作為過濾器A和B的輸入，在下一周期分別發(fā)現(xiàn)交換機(jī)上MAC的增加和減少。數(shù)據(jù)比較是過濾的過程，就是以交換機(jī)端口 PORT為索引，逐個比較以發(fā)現(xiàn)PORT上MAC的變化，具體的:在“過濾器A”上，用當(dāng)前周期的MAC-PORT數(shù)據(jù)逐個端口與緩存的前一周期數(shù)據(jù)做減法，非“O”部分就是PORT上增加的MAC ；以緩存的前一周期MAC-PORT數(shù)據(jù)與當(dāng)前周期的數(shù)據(jù)做減法，非“O”部分即為交換機(jī)端口 PORT上減少的MAC。
[0034]步驟6，“過濾器B”將接收的數(shù)據(jù)與前一周期緩存的數(shù)據(jù)比較，過濾出減少的MAC，以發(fā)現(xiàn)交換機(jī)上離線的設(shè)備，將離線狀態(tài)寫入MAC認(rèn)證庫。具體的:在“過濾器B”上，以緩存的前一周期MAC-PORT數(shù)據(jù)與當(dāng)前周期的數(shù)據(jù)做減法，非“O”部分即為交換機(jī)端口 PORT上減少的MAC。MAC認(rèn)證庫中設(shè)置了 MAC在線狀態(tài)標(biāo)志，用1/0分別標(biāo)識MAC的在線狀態(tài)和離線狀態(tài)。“過濾器A”輸出的MAC處于在線狀態(tài)，“過濾器B”的輸出的MAC處于離線狀態(tài)。
[0035]MAC認(rèn)證庫是存儲合法MAC的MAC-PORT關(guān)系和在線/離線狀態(tài)的數(shù)據(jù)庫，MAC認(rèn)證模塊是對接入MAC進(jìn)行認(rèn)證的執(zhí)行者，具體的:MAC認(rèn)證模塊以MAC為索引查詢MAC認(rèn)證庫，存在返回“ 1”，不存在返回“0”，某一接入MAC查詢返回結(jié)果為“ 1”，則通過認(rèn)證，查詢返回結(jié)果為“0”，則不能通過認(rèn)證，MAC認(rèn)證模塊將該MAC-PORT發(fā)送給關(guān)閉執(zhí)行模塊處理。
[0036]步驟7，“過濾器A”以接收的當(dāng)前周期MAC-PORT數(shù)據(jù)刷新MAC/P0RT緩存。
[0037]步驟8，MAC認(rèn)證模塊檢索收到的MAC是否已經(jīng)在MAC認(rèn)證庫中，如果存在則認(rèn)證通過，如果不存在，說明該MAC接入設(shè)備不是合法設(shè)備，MAC認(rèn)證模塊將MAC-PORT發(fā)送到關(guān)閉執(zhí)行模塊處理。
[0038]步驟9，關(guān)閉執(zhí)行模塊將MAC對應(yīng)的端口 PORT作為關(guān)閉端口參數(shù)經(jīng)SNMP發(fā)送給交換機(jī)執(zhí)行。
[0039]步驟10，交換機(jī)按接收的端口 PORT參數(shù)關(guān)閉MAC所在端口，實(shí)現(xiàn)非法MAC接入設(shè)備的斷網(wǎng)。
[0040]本發(fā)明可以有效解決大部分接入設(shè)備的接入認(rèn)證，問題在于，對于仿冒認(rèn)證MAC的接入設(shè)備不能分辨，需要結(jié)合MAC保護(hù)技術(shù)來解決。
[0041]如圖2所示，本發(fā)明在實(shí)現(xiàn)MAC保護(hù)時，在終端上運(yùn)行客戶端程序保護(hù)MAC地址，
周期比較操作系統(tǒng)緩存的MAC與網(wǎng)絡(luò)適配器物理MAC的一致性，發(fā)現(xiàn)不一致，及時修正并報
m
目O
[0042]MAC地址保護(hù)是client的功能之一，通過周期性的檢測系統(tǒng)緩存中MAC是否與網(wǎng)卡物理MAC —致，如不一致，則將緩存MAC改正為物理MAC。具體檢測過程為:通過比較模塊讀取網(wǎng)卡物理地址MAC ;并且通過比較模塊讀取操作系統(tǒng)緩存中的網(wǎng)卡MAC ;然后比較模塊將網(wǎng)卡物理地址MAC和操作系統(tǒng)緩存中的網(wǎng)卡MAC進(jìn)行按位“異或”操作，結(jié)果為“O”，則重復(fù)該過程操作，結(jié)果不為“O”，則將網(wǎng)卡物理MAC送保護(hù)報警模塊。然后通過保護(hù)報警模塊將MAC數(shù)據(jù)寫入系統(tǒng)緩存MAC，同時產(chǎn)生報警。本發(fā)明以MAC為標(biāo)識、基于交換機(jī)端口的接入控制，是在接入交換機(jī)的物理端口上實(shí)現(xiàn)的，被拒絕接入的設(shè)備連接端口會被關(guān)閉模塊關(guān)閉，至此接入的控制任務(wù)已經(jīng)完成。但是交換機(jī)端口被關(guān)閉后，其它設(shè)備就不能再從此端口接入，永久關(guān)閉該端口將影響終端的后續(xù)接入，也將降低交換機(jī)端口的可用率，是不可接受的，必須有后續(xù)的處理保證所有交換機(jī)端口的可用性。
[0043]如圖3所示，通過設(shè)置端口時長和窗口時長、執(zhí)行數(shù)據(jù)和窗口數(shù)據(jù)，與掃描模塊、關(guān)閉執(zhí)行模塊和開啟執(zhí)行模塊按設(shè)定的時序協(xié)同工作，共同完成接入控制后處理過程。
[0044]端口時長:交換機(jī)端口因拒絕接入被SEAD控制關(guān)閉后，經(jīng)過一定的時間該端口被SEAD再次開啟，這個時間長度稱為端口時長。
[0045]窗口時長:由SEAD為未合規(guī)接入設(shè)備開啟的連接該設(shè)備的交換機(jī)端口時間，經(jīng)過設(shè)定的時間后，該交換機(jī)端口將自動關(guān)閉。此端口開啟的時間稱為窗口時長。
[0046]執(zhí)行數(shù)據(jù):由被SEAD關(guān)閉的交換機(jī)端口 WID-MAC-PORT和時間戳為記錄組成的數(shù)據(jù)表。
[0047]窗口數(shù)據(jù):執(zhí)行數(shù)據(jù)記錄的MAC被管理員人工確認(rèn)為合法MAC，更新時間戳后組成的數(shù)據(jù)表。
[0048]掃描模塊:檢查執(zhí)行數(shù)據(jù)時間戳，驗證端口時長到達(dá)，發(fā)出開啟端口指令，檢查窗口數(shù)據(jù)時間戳，驗證窗口時長到達(dá)，發(fā)出關(guān)閉端口指令。
[0049]具體按以下步驟進(jìn)行:
[0050]I)某交換機(jī)端口因接入設(shè)備不合法被關(guān)閉后，關(guān)閉執(zhí)行模塊將產(chǎn)生一條該端口的執(zhí)行數(shù)據(jù)，該數(shù)據(jù)包括交換機(jī)標(biāo)識(WID)、端口號(PORT)、MAC地址和時間戳，這個數(shù)據(jù)被記錄在執(zhí)行數(shù)據(jù)表中；關(guān)閉執(zhí)行模塊還將產(chǎn)一條報警數(shù)據(jù)，保存在數(shù)據(jù)庫中，用于查詢；
[0051]2)掃描模塊對執(zhí)行數(shù)據(jù)表中的記錄逐條掃描，檢查每條記錄的時間戳與當(dāng)前時間的差是否達(dá)到端口時長，如到達(dá)則向開啟執(zhí)行模塊發(fā)開啟端口指令，其中WID-MAC-PORT是指令參數(shù)，WID是執(zhí)行指令的交換機(jī)號，PORT是交換機(jī)端口號，執(zhí)行完畢后從執(zhí)行數(shù)據(jù)表中刪除該條記錄。
[0052]3)掃描模塊對執(zhí)行數(shù)據(jù)表中的記錄逐條掃描，檢查每條記錄的時間戳與當(dāng)前時間的差是否達(dá)到端口時長，如到達(dá)則向開啟執(zhí)行模塊發(fā)開啟端口指令，其中WID-MAC-PORT是指令參數(shù)，WID是執(zhí)行指令的交換機(jī)號，PORT是交換機(jī)端口號，執(zhí)行完畢后從執(zhí)行數(shù)據(jù)表中刪除該條記錄；如沒有到達(dá)，則檢查下一條記錄，直至檢查到最后一條記錄，再從第一條開始逐條檢查，如此循環(huán)往復(fù)。
[0053]4)執(zhí)行數(shù)據(jù)表中尚未到達(dá)端口時長的記錄經(jīng)管理員確認(rèn)為合法MAC后，可以被加入窗口期，該記錄WID-MAC-PORT被重置時間戳，開啟對應(yīng)的交換機(jī)端口，加入窗口數(shù)據(jù)表。
[0054]5)掃描模塊對窗口數(shù)據(jù)表中的記錄逐條掃描，檢查每條記錄的時間戳與當(dāng)前時間的差是否達(dá)到窗口時長，如到達(dá)則向關(guān)閉執(zhí)行模塊發(fā)關(guān)閉端口指令，其中WID-MAC-PORT是指令參數(shù)，WID是執(zhí)行指令的交換機(jī)號，PORT是交換機(jī)端口號，執(zhí)行完畢后從窗口數(shù)據(jù)表中刪除該條記錄；如沒有到達(dá)，則檢查下一條記錄，直至檢查到最后一條記錄，再從第一條開始逐條檢查，如此循環(huán)往復(fù)。
[0055]端口時長和窗口時長作為系統(tǒng)參數(shù)，可以由管理員設(shè)定。
[0056]本發(fā)明以接入設(shè)備MAC為認(rèn)證標(biāo)識，以交換機(jī)物理端口為控制點(diǎn)，采用通用的SNMP協(xié)議，適用于所有的智能交換機(jī)，具有實(shí)施方便、成本低廉、適應(yīng)多種網(wǎng)絡(luò)環(huán)境、不改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、無單點(diǎn)故障風(fēng)險，準(zhǔn)入控制可靠，交換機(jī)物理端口開啟即為準(zhǔn)入開啟狀態(tài)，關(guān)閉即為準(zhǔn)入關(guān)閉狀態(tài)，消除了接入尾隨問題，覆蓋完整的接入網(wǎng)范圍，與IP地址分配方式無關(guān)，有效避免了現(xiàn)有技術(shù)的缺陷。
[0057]本發(fā)明的方法不僅有效，而且僅要求接入交換機(jī)支持SNMP協(xié)議。
[0058]以上所述的具體實(shí)施例，對本發(fā)明的目的、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步詳細(xì)說明，應(yīng)理解的是，以上所述僅為本發(fā)明的具體實(shí)施例而已，并不用于限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種基于智能交換機(jī)物理端口和MAC地址的接入控制方法，該方法包括步驟: 步驟1，從已經(jīng)建立SNMP協(xié)議連接的接入交換機(jī)上，讀取連接交換機(jī)MAC表數(shù)據(jù)，該數(shù)據(jù)包括MAC-PORT對應(yīng)關(guān)系； 步驟2，將獲得的MAC表數(shù)據(jù)發(fā)送給數(shù)據(jù)歸并模塊； 步驟3，數(shù)據(jù)歸并模塊對SNMP采集來的數(shù)據(jù)進(jìn)行歸并處理，從不同交換機(jī)的數(shù)據(jù)格式歸并出MAC-PORT格式，同時發(fā)送給過濾器A ； 步驟4，數(shù)據(jù)歸并模塊將歸并后的數(shù)據(jù)發(fā)送給過濾器B ； 步驟5，過濾器A將從數(shù)據(jù)歸并模塊收到的數(shù)據(jù)與MAC/P0RT緩存中前一周期緩存的數(shù)據(jù)比較，確定新增加的MAC，并將該新增加的MAC對應(yīng)的MAC-PORT發(fā)送給MAC認(rèn)證模塊；步驟6，過濾器B將從數(shù)據(jù)歸并模塊接收的數(shù)據(jù)與MAC/P0RT緩存中前一周期緩存的數(shù)據(jù)比較，確定減少的MAC，以發(fā)現(xiàn)交換機(jī)上離線的設(shè)備，將離線狀態(tài)寫入MAC認(rèn)證庫； 步驟7，過濾器A以接收的數(shù)據(jù)刷新MAC/P0RT緩存； 步驟8，MAC認(rèn)證模塊檢索收到的MAC是否已經(jīng)在MAC認(rèn)證庫中，如果存在則認(rèn)證通過，如果不存在，則確定該MAC接入設(shè)備不是合法設(shè)備。
2.根據(jù)權(quán)利 要求1所述的方法，其特征在于，進(jìn)一步包括步驟: 步驟9，MAC認(rèn)證模塊將不合法接入設(shè)備對應(yīng)的MAC-PORT發(fā)送到關(guān)閉執(zhí)行模塊處理；步驟10，所述關(guān)閉執(zhí)行模塊將不合法的MAC對應(yīng)的端口 PORT作為關(guān)閉端口參數(shù)經(jīng)SNMP發(fā)送給交換機(jī)； 步驟11，交換機(jī)按接收的端口 PORT參數(shù)關(guān)閉MAC所在端口，實(shí)現(xiàn)非法MAC接入設(shè)備的斷網(wǎng)。
3.根據(jù)權(quán)利要求1所述的方法，其特征在于，在步驟I，通過輪詢和TRAP方式讀取連接交換機(jī)MAC表數(shù)據(jù)。
4.根據(jù)權(quán)利要求1所述的方法，其特征在于，該方法進(jìn)一步包括步驟:在終端上運(yùn)行客戶端程序保護(hù)MAC地址，周期比較操作系統(tǒng)緩存的MAC與網(wǎng)絡(luò)適配器物理MAC的一致性，發(fā)現(xiàn)不一致，則將緩存MAC改正為物理MAC。
5.根據(jù)權(quán)利要求4所述的方法，其特征在于，該方法進(jìn)一步包括步驟: 某交換機(jī)端口因接入設(shè)備不合法被關(guān)閉后，關(guān)閉執(zhí)行模塊將產(chǎn)生一條該端口的執(zhí)行數(shù)據(jù)，該數(shù)據(jù)包括交換機(jī)標(biāo)識WID、端口號P0RT、MAC地址和時間戳，這個數(shù)據(jù)被記錄在執(zhí)行數(shù)據(jù)表中；關(guān)閉執(zhí)行模塊還將產(chǎn)一條報警數(shù)據(jù)，保存在數(shù)據(jù)庫中，用于查詢； 掃描模塊對執(zhí)行數(shù)據(jù)表中的記錄逐條掃描，檢查每條記錄的時間戳與當(dāng)前時間的差是否達(dá)到端口時長，如到達(dá)則向開啟執(zhí)行模塊發(fā)開啟端口指令，其中WID-MAC-P0RT是指令參數(shù)，WID是執(zhí)行指令的交換機(jī)號，PORT是交換機(jī)端口號，執(zhí)行完畢后從執(zhí)行數(shù)據(jù)表中刪除該條記錄； 掃描模塊對執(zhí)行數(shù)據(jù)表中的記錄逐條掃描，檢查每條記錄的時間戳與當(dāng)前時間的差是否達(dá)到端口時長，如到達(dá)則向開啟執(zhí)行模塊發(fā)開啟端口指令，其中WID-MAC-P0RT是指令參數(shù)，WID是執(zhí)行指令的交換機(jī)號，PORT是交換機(jī)端口號，執(zhí)行完畢后從執(zhí)行數(shù)據(jù)表中刪除該條記錄；如沒有到達(dá)，則檢查下一條記錄，直至檢查到最后一條記錄，再從第一條開始逐條檢查,如此循環(huán)往復(fù)； 執(zhí)行數(shù)據(jù)表中尚未到達(dá)端口時長的記錄經(jīng)管理員確認(rèn)為合法MAC后，被加入窗口期，該記錄WID-MAC-PORT被重置時間戳，開啟對應(yīng)的交換機(jī)端口，加入窗口數(shù)據(jù)表； 掃描模塊對窗口數(shù)據(jù)表中的記錄逐條掃描，檢查每條記錄的時間戳與當(dāng)前時間的差是否達(dá)到窗口時長，如到達(dá)則向關(guān)閉執(zhí)行模塊發(fā)關(guān)閉端口指令，其中WID-MAC-PORT是指令參數(shù)，WID是執(zhí)行指令的交換機(jī)號，PORT是交換機(jī)端口號，執(zhí)行完畢后從窗口數(shù)據(jù)表中刪除該條記錄；如沒有到達(dá)，則檢查下一條記錄，直至檢查到最后一條記錄，再從第一條開始逐條檢查,如此循環(huán)往復(fù)。
6.一種基于智能交換機(jī)物理端口和MAC地址的接入控制系統(tǒng),該系統(tǒng)包括: 輪詢/TRAP模塊，用于從已經(jīng)建立SNMP協(xié)議連接的接入交換機(jī)上，讀取連接交換機(jī)MAC表數(shù)據(jù)，該數(shù)據(jù)包括MAC-PORT對應(yīng)關(guān)系，并將獲得的MAC表數(shù)據(jù)發(fā)送給數(shù)據(jù)歸并模塊； 數(shù)據(jù)歸并模塊，用于對SNMP采集來的數(shù)據(jù)進(jìn)行歸并處理，從不同交換機(jī)的數(shù)據(jù)格式歸并出MAC-PORT格式，同時發(fā)送給過濾器A，并且將歸并后的數(shù)據(jù)發(fā)送給過濾器B ； 過濾器A，將從數(shù)據(jù)歸并模塊收到的數(shù)據(jù)與MAC/P0RT緩存中前一周期緩存的數(shù)據(jù)比較，確定新增加的MAC，并將該新增加的MAC對應(yīng)的MAC-PORT發(fā)送給MAC認(rèn)證模塊；過濾器A以本周期的數(shù)據(jù)刷新MAC/P0RT緩存； 過濾器B，用于將從數(shù)據(jù)歸并模塊接收的數(shù)據(jù)與MAC/P0RT緩存中前一周期緩存的數(shù)據(jù)比較，確定減少的MAC，以發(fā)現(xiàn)交換機(jī)上離線的設(shè)備，將離線狀態(tài)寫入MAC認(rèn)證庫； MAC認(rèn)證模塊，用于檢索收到的MAC是否已經(jīng)在MAC認(rèn)證庫中，如果存在則認(rèn)證通過，如果不存在，說明該MAC接入設(shè)備不是合法設(shè)備。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)，其特征在于， MAC認(rèn)證模塊將不合法接入設(shè)備對應(yīng)的MAC-PORT發(fā)送到關(guān)閉執(zhí)行模塊處理，并且該系統(tǒng)進(jìn)一步包括: 關(guān)閉執(zhí)行模塊，用于將不合法的MAC對應(yīng)的端口 PORT作為關(guān)閉端口參數(shù)經(jīng)SNMP發(fā)送給交換機(jī)，交換機(jī)按接收的端口 PORT參數(shù)關(guān)閉MAC所在端口，實(shí)現(xiàn)非法MAC接入設(shè)備的斷網(wǎng)。
8.根據(jù)權(quán)利要求6所述的系統(tǒng)，其特征在于，該系統(tǒng)進(jìn)一步包括: 比較模塊，用于在終端上運(yùn)行客戶端程序保護(hù)MAC地址，周期比較操作系統(tǒng)緩存的MAC與網(wǎng)絡(luò)適配器物理MAC的一致性，發(fā)現(xiàn)不一致，則將緩存MAC改正為物理MAC ； 保護(hù)報警模塊，用于將網(wǎng)卡物理MAC數(shù)據(jù)寫入系統(tǒng)緩存MAC，同時產(chǎn)生報警。
【文檔編號】H04L12/24GK103957171SQ201410213223
【公開日】2014年7月30日 申請日期:2014年5月20日 優(yōu)先權(quán)日:2014年5月20日
【發(fā)明者】劉建兵, 薛鋒 申請人:劉建兵, 薛鋒