基于智能交换机物理端口和MAC地址的接入控制方法和系统技术方案

本发明专利技术公开了一种基于智能交换机物理端口和MAC地址的接入控制方法，包括：步骤1，从建立SNMP协议连接的接入交换机上读取MAC表数据；步骤2，将获得的数据发送给数据归并模块；步骤3，数据归并模块对SNMP采集来的数据进行归并处理，并发送给过滤器A；步骤4，数据归并模块将归并后的数据发送给过滤器B；步骤5，过滤器A确定新增加的MAC，并将该新增加的MAC对应的MAC‑PORT发送给MAC认证模块；步骤6，确定减少的MAC，将离线状态写入MAC认证库；步骤7，过滤器A以接收的数据刷新MAC/PORT缓存；步骤8，MAC认证模块检索收到的MAC是否已经在MAC认证库中，以确定设备是否合法。

Access control method and system based on intelligent switch physical port and MAC address

The invention discloses a control method, access smart switch and physical ports based on MAC address comprises: Step 1, the MAC table data read from the access switch to establish SNMP protocol connection; step 2, send the data to obtain the data merge module; step 3, data merge module of the SNMP data collected the merge process, and sent to the A filter; step 4, sending the data merge module will be merged to filter B filter A; step 5, determine the new added MAC, and sends the corresponding MAC new MAC PORT to MAC authentication module; step 6, determine the reduction of MAC, will be offline write state MAC authentication library; step 7, A filter to receive data refresh MAC/PORT cache; step 8, MAC certification retrieval module received MAC is in MAC authentication library, to determine whether the equipment Method.

【技术实现步骤摘要】
基于智能交换机物理端口和MAC地址的接入控制方法和系统
本专利技术涉及终端接入
，具体涉及一种基于智能交换机物理端口和MAC地址的接入控制方法和系统。
技术介绍
现有接入控制技术，主要有四种：①802.1x准入控制、②基于DHCP准入控制、③基于网关的准入控制、④基于ARP强制技术，不同的技术采用不同的接入控制点实现接入的开启和关闭。①的控制点在交换机的协议端口上，准入关闭状态，除了EAP协议外，所有的协议端口都关闭，客户端只能通过EAP协议与认证服务端通讯完成接入认证过程，接入开启状态则交换机协议端口全部打开，终端接入网络；②的准入控制点在网段的网关地址上，即在网关的IP上，通过给终端分配不同的IP地址，使终端进入不同的网段，当分配了错误或不存在网关的网段IP后，终端不能通过网关访问本网段以外的地址，将终端通讯限制在本网段内，即为准入关闭状态；当终端被分配了正常的IP地址，终端进入拥有合法网关地址的网段，终端即可以进行正常的网络访问，即为准入开启状态；③的控制点是网关设备本身，通过将网关设备插入网络链路中，拦截通过的终端数据，终端安装了与网关配套的客户端且符合网关的策略要求，就放行终端的通讯，即准入开启状态；没有安装客户端或安全策略未合规的终端数据被网关拦截，不能通过网关，即为准入关闭状态；④的控制点和②类似，也是网关IP地址，实现方法略有不同，通过ARP协议给终端分配不存在的网关地址，造成终端不能正常通讯，即为准入关闭状态；通过ARP协议给终端分配正常的网关地址，终端即可正常通讯，即为准入开启状态。这四种技术都存在各自的问题和缺陷，①依赖支持802.1x协议的交换机，普通交换机上不能实现，成本高昂；存在接入尾随问题；②要求终端采用DHCP分配IP地址，对固定分配地址的终端无效；③依赖网关设备本身能力，存在网络瓶颈和单点故障风险；改变网络结构，控制范围受网络拓扑结构影响；对网关以下的局域网没有准入控制作用，仅能控制准出；④是纯软手段，实际上是ARP欺骗，有多种方法更改该方法分配给终端的网关地址，而致控制失效；其类似ARP攻击的特征，会被众多的个人防火墙软件拦截，不能发挥作用。
技术实现思路
(一)要解决的技术问题为了克服现有技术存在的问题，本专利技术提出一种基于智能交换机物理端口和MAC地址的接入控制方法和系统。(二)技术方案根据本专利技术的一个方面，提出了一种基于智能交换机物理端口和MAC地址的接入控制方法，该方法包括步骤：步骤1，从已经建立SNMP协议连接的接入交换机上，读取连接交换机MAC表数据，该数据包括MAC-PORT对应关系；步骤2，将获得的MAC表数据发送给数据归并模块；步骤3，数据归并模块对SNMP采集来的数据进行归并处理，从不同交换机的数据格式归并出MAC-PORT格式，同时发送给过滤器A；步骤4，数据归并模块将归并后的数据发送给过滤器B；步骤5，过滤器A将从数据归并模块收到的数据与MAC/PORT缓存中前一周期缓存的数据比较，确定新增加的MAC，并将该新增加的MAC对应的MAC-PORT发送给MAC认证模块；步骤6，过滤器B将从数据归并模块接收的数据与MAC/PORT缓存中前一周期缓存的数据比较，确定减少的MAC，以发现交换机上离线的设备，将离线状态写入MAC认证库；步骤7，过滤器A以本周期数据刷新MAC/PORT缓存；步骤8，MAC认证模块检索收到的MAC是否已经在MAC认证库中，如果存在则认证通过，如果不存在，说明该MAC接入设备不是合法设备。根据本专利技术的另一方面，提出了一种基于智能交换机物理端口和MAC地址的接入控制系统，该系统包括：轮询/TRAP模块，用于从已经建立SNMP协议连接的接入交换机上，读取连接交换机MAC表数据，该数据包括MAC-PORT对应关系，并将获得的MAC表数据发送给数据归并模块；数据归并模块，用于对SNMP采集来的数据进行归并处理，从不同交换机的数据格式归并出MAC-PORT格式，同时发送给过滤器A，并且将归并后的数据发送给过滤器B；过滤器A，将从数据归并模块收到的数据与MAC/PORT缓存中前一周期缓存的数据比较，确定新增加的MAC，将增加的MAC-PORT增加到MAC/PORT缓存中，并将该新增加的MAC对应的MAC-PORT发送给MAC认证模块；过滤器B，用于将从数据归并模块接收的数据与MAC/PORT缓存中前一周期缓存的数据比较，确定减少的MAC，以发现交换机上离线的设备，将离线状态写入MAC认证库；MAC认证模块，用于检索收到的MAC是否已经在MAC认证库中，如果存在则认证通过，如果不存在，说明该MAC接入设备不是合法设备。(三)有益效果本专利技术的方法以接入设备MAC为认证标识，以交换机物理端口为控制点，采用通用的SNMP协议，适用于所有的智能交换机，具有实施方便、成本低廉、适应多种网络环境、不改变网络拓扑结构、无单点故障风险，准入控制可靠的特点，交换机物理端口开启即为准入开启状态，关闭即为准入关闭状态，消除了接入尾随问题，覆盖完整的接入网范围，与IP地址分配方式无关，有效避免了现有技术的缺陷。附图说明图1是本专利技术基于智能交换机物理端口和MAC地址的接入控制方法的流程图。图2是本专利技术的MAC保护原理图；图3是根据本专利技术在交换机端口被关闭后的处理原理图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本专利技术进一步详细说明。对于网络边界接入的设备来说，只有基于交换机端口的管控才是最彻底的管控，只有基于接入设备MAC地址的认证才能识别物理设备。基于客户端软件、VLAN和802.1X协议等业界流行的准入认证方法，本质上都没有实现接入边界上的准入控制，认证未通过的接入设备实际上仍接入了网络接入交换机，仍然可以在接入交换机或接入层实现数据通讯，是不彻底的接入管控方法。以接入设备MAC地址为认证标识，以交换机物理端口为接入管控点，能够实现真正意义上的接入边界严格管控。图1为本专利技术提出的基于智能交换机物理端口和MAC地址的接入控制方法的原理图。参照图1，该方法包括以下具体步骤：步骤1，轮询/TRAP模块从已经建立SNMP协议连接的接入交换机上，通过轮询或TRAP方式读取交换机的MAC表，其中包括MAC-PORT对应关系。SNMP是TCP/IP协议族的一部分。它通过用户数据报协议(UDP)来操作。使用SNMP进行网络管理需要下面几个重要部分：管理基站，管理代理，管理信息库和网络管理工具。管理基站通常是一个独立的设备，它用作网络管理者进行网络管理的用户接口。基站上必须装备有管理软件，管理员可以使用用户接口和从MIB取得信息的数据库，同时为了进行网络管理它应该具备将管理命令发出基站的能力。MIB是对象的集合，它代表网络中可以管理的资源和设备。每个对象基本上是一个数据变量，它代表被管理的对象的一方面的信息。SNMP的基本功能是：取得，设置和接收代理发送的意外信息。取得指的是基站发送请求，代理根据这个请求回送相应的数据，设置是基站设置管理对象(也就是代理)的值，接收代理发送的意外信息是指代理可以在基站未请求的状态下向基站报告发生的意外情况。通过将SNMP嵌入数据通信设备，如路由器、交换机或集线器中，就可以从一个中心站管理本文档来自技高网...

【技术保护点】
一种基于智能交换机物理端口和MAC地址的接入控制方法，该方法包括步骤：步骤1，从已经建立SNMP协议连接的接入交换机上，读取连接交换机MAC表数据，该数据包括MAC‑PORT对应关系；步骤2，将获得的MAC表数据发送给数据归并模块；步骤3，数据归并模块对SNMP采集来的数据进行归并处理，从不同交换机的数据格式归并出MAC‑PORT格式，同时发送给过滤器A；步骤4，数据归并模块将归并后的数据发送给过滤器B；步骤5，过滤器A将从数据归并模块收到的数据与MAC/PORT缓存中前一周期缓存的数据比较，确定新增加的MAC，并将该新增加的MAC对应的MAC‑PORT发送给MAC认证模块；步骤6，过滤器B将从数据归并模块接收的数据与MAC/PORT缓存中前一周期缓存的数据比较，确定减少的MAC，以发现交换机上离线的设备，将离线状态写入MAC认证库；步骤7，过滤器A以接收的数据刷新MAC/PORT缓存；步骤8，MAC认证模块检索收到的MAC是否已经在MAC认证库中，如果存在则认证通过，如果不存在，则确定MAC接入设备不是合法设备；该方法进一步包括以下步骤：在终端上运行客户端程序保护MAC地址，周期比较操作系统缓存的MAC与网络适配器物理MAC的一致性，发现不一致，则将缓存MAC改正为物理MAC；某交换机端口因接入设备不合法被关闭后，关闭执行模块将产生一条该端口的执行数据，该数据包括交换机标识WID、端口号PORT、MAC地址和时间戳，这个数据被记录在执行数据表中；关闭执行模块还将产生一条报警数据，保存在数据库中，用于查询；扫描模块对执行数据表中的记录逐条扫描，检查每条记录的时间戳与当前时间的差是否达到端口时长，如到达则向开启执行模块发开启端口指 令，其中WID‑MAC‑PORT是指令参数，WID是执行指令的交换机号，PORT是交换机端口号，执行完毕后从执行数据表中删除该条记录；扫描模块对执行数据表中的记录逐条扫描，检查每条记录的时间戳与当前时间的差是否达到端口时长，如到达则向开启执行模块发开启端口指令，其中WID‑MAC‑PORT是指令参数，WID是执行指令的交换机号，PORT是交换机端口号，执行完毕后从执行数据表中删除该条记录；如没有到达，则检查下一条记录，直至检查到最后一条记录，再从第一条开始逐条检查，如此循环往复；执行数据表中尚未到达端口时长的记录经管理员确认为合法MAC后，被加入窗口期，该记录WID‑MAC‑PORT被重置时间戳，开启对应的交换机端口，加入窗口数据表；扫描模块对窗口数据表中的记录逐条扫描，检查每条记录的时间戳与当前时间的差是否达到窗口时长，如到达则向关闭执行模块发关闭端口指令，其中WID‑MAC‑PORT是指令参数，WID是执行指令的交换机号，PORT是交换机端口号，执行完毕后从窗口数据表中删除该条记录；如没有到达，则检查下一条记录，直至检查到最后一条记录，再从第一条开始逐条检查，如此循环往复。...

【技术特征摘要】
1.一种基于智能交换机物理端口和MAC地址的接入控制方法，该方法包括步骤：步骤1，从已经建立SNMP协议连接的接入交换机上，读取连接交换机MAC表数据，该数据包括MAC-PORT对应关系；步骤2，将获得的MAC表数据发送给数据归并模块；步骤3，数据归并模块对SNMP采集来的数据进行归并处理，从不同交换机的数据格式归并出MAC-PORT格式，同时发送给过滤器A；步骤4，数据归并模块将归并后的数据发送给过滤器B；步骤5，过滤器A将从数据归并模块收到的数据与MAC/PORT缓存中前一周期缓存的数据比较，确定新增加的MAC，并将该新增加的MAC对应的MAC-PORT发送给MAC认证模块；步骤6，过滤器B将从数据归并模块接收的数据与MAC/PORT缓存中前一周期缓存的数据比较，确定减少的MAC，以发现交换机上离线的设备，将离线状态写入MAC认证库；步骤7，过滤器A以接收的数据刷新MAC/PORT缓存；步骤8，MAC认证模块检索收到的MAC是否已经在MAC认证库中，如果存在则认证通过，如果不存在，则确定MAC接入设备不是合法设备；该方法进一步包括以下步骤：在终端上运行客户端程序保护MAC地址，周期比较操作系统缓存的MAC与网络适配器物理MAC的一致性，发现不一致，则将缓存MAC改正为物理MAC；某交换机端口因接入设备不合法被关闭后，关闭执行模块将产生一条该端口的执行数据，该数据包括交换机标识WID、端口号PORT、MAC地址和时间戳，这个数据被记录在执行数据表中；关闭执行模块还将产生一条报警数据，保存在数据库中，用于查询；扫描模块对执行数据表中的记录逐条扫描，检查每条记录的时间戳与当前时间的差是否达到端口时长，如到达则向开启执行模块发开启端口指令，其中WID-MAC-PORT是指令参数，WID是执行指令的交换机号，PORT是交换机端口号，执行完毕后从执行数据表中删除该条记录；扫描模块对执行数据表中的记录逐条扫描，检查每条记录的时间戳与当前时间的差是否达到端口时长，如到达则向开启执行模块发开启端口指令，其中WID-MAC-PORT是指令参数，WID是执行指令的交换机号，PORT是交换机端口号，执行完毕后从执行数据表中删除该条记录；如没有到达，则检查下一条记录，直至检查到最后一条记录，再从第一条开始逐条检查，如此循环往复；执行数据表中尚未到达端口时长的记录经管理员确认为合法MAC后，被加入窗口期，该记录WID-MAC-PORT被重置时间戳，开启对应的交换机端口，加入窗口数据表；扫描模块对窗口数据表中的记录逐条扫描，检查每条记录的时间戳与当前时间的差是否达到窗口时长，如到达则向关闭执行模块发关闭端口指令，其中WID-MAC-PORT是指令参数，WID是执行指令的交换机号，PORT是交换机端口号，执行完毕后从窗口数据表中删除该条记录；如没有到达，则检查下一条记录，直至检查到最后一条记录，再从第一条开始逐条检查，如此循环往复。2.根据权利要求1所述的方法，其特征在于，进一步包括步骤：步骤9，MAC认证模块将不合法接入设备对应的MAC-PORT发送到关闭执行模块处理；步骤10，所述关闭执行模块将不合法的MAC对应的端口PORT作为关闭端口参数经SNMP发送给交换机；步骤11，交换机按接收的端口PORT参数关闭MAC所在端口，实现非法MAC接入设备的断网。3.根据权利要求1所述的方法，其特征在于，在步骤1，通过轮询和TRAP方式读取连接交换机MAC表数据。4.一种基于智能交换机物理端口和MAC地址的接入控制系统，该系统包括：轮询/T...

【专利技术属性】
技术研发人员：刘建兵，薛锋，
申请(专利权)人：刘建兵，薛锋，
类型：发明
国别省市：北京,11