一种基于智能路由器物理口和MAC及IP的终端准入管控设计制造技术

本发明专利技术涉及计算机终端准入安全领域，尤其是一种基于智能路由器物理口和MAC及IP的终端准入，包括以下两大部分：让同网段网络数据走Linux内核网络子系统Net filter，在Net filter中执行准入策略判定函数，实现各个网口的软隔离，识别MAC终端是从哪个物理网口中接入的，进而判定是否被允许从该物理口接入，在Linux内核网络子系统的网络二层驱动中增加phy字段，标识流量的网口编码，并将编码传入Net filter中，本发明专利技术通过使用基于MIPS架构的MTK SOC方案实现物理口和MAC及IP的终端准入管控的智能网关，降低了成本，可以大量部署在网络边缘，同时使用的MTK7621系、MTK7628系、MKT7620系SOC芯片能够大幅降低功耗。MKT7620系SOC芯片能够大幅降低功耗。

【技术实现步骤摘要】
一种基于智能路由器物理口和MAC及IP的终端准入管控设计


[0001]本专利技术涉及计算机终端准入安全领域，尤其涉及一种基于智能路由器物理 口和MAC及IP的终端准入管控设计。

技术介绍

[0002]随着计算机网络发展，工业互联网和物联网的壮大，网络环境安全对网络 内的设备提出准入要求，即只允许信任的终端接入到网络内，防止陌生电脑接 入到业务网络中搞破坏。
[0003]目前市场上的防止陌生电脑接入业务网络的实现方式：
[0004]1.第一类是将智能网关放置在网络汇聚层，或核心交换机层，即终端上网 的流量必经之路；这类产品主要通过MAC地址和IP地址白名单实现，这类产品 占绝大多数；
[0005]2.第二类是将智能网关放置在边缘层，通过MAC地址+物理口+IP地址实现； 这类设备绝大部分是在Intel的X86架构芯片上实现，极少数是在自研芯片(比 如华为)上实现，价格昂贵(4000元以上)，难以大量部署在每个边界终端的上 游；存在缺点如下：
[0006](1)第一类产品不具备物理口准入管控功能；风险是只能让MAC和IP白 名单中的设备入网，但由于管不了物理口，限制不了入网点，比如一台电脑只 要在白名单内，从A地点上网和从B地点上网没有任何区别，都会被允许；实 际情况有可能A,B两点分在不同业务的局域网络中，安全防护等级不同，是不 允许这样操作的
[0007](2)第二类产品，价格贵。
[0008]综上所述需要对目前市场上设置有的终端准入管控方法进行调整。
专利技术内容
[0009]本专利技术的目的是为了解决现有技术中存在的缺点，而提出的一种基于智能 路由器物理口和MAC及IP的终端准入管控设计。
[0010]为达到以上目的，本专利技术采用的技术方案为：一种基于智能路由器物理口 和MAC及IP的终端准入，包括以下两大部分：
[0011](1)让同网段网络数据走Linux内核网络子系统net filter，在net filter中执行准入策略判定函数，实现各个网口的软隔离，具体实施步骤如下：
[0012](i)取用一个支持多个网口的SOC芯片，所述SOC芯片具体为MTK7621系、 MTK7628系、MKT7620系SOC芯片中的一个，将SOC芯片的每个网口单独划分一 个虚拟局域网；
[0013](ii)将每个虚拟局域网都挂载到同一个网桥中；
[0014](iii)将每一个虚拟局域网获取的通信流量，向Linux内核Net filter中 发送；
[0015](iv)Net filter将处理后通信流量送入网桥，并经由网桥将处理后的通 信流量送往除发送网口以外的其它网口；
[0016](2)识别MAC终端是从哪个物理网口中接入的，进而判定是否被允许从该 物理口接入，在Linux内核网络子系统的网络二层驱动中增加phy字段，标识 流量的网口编码，并
将编码传入Net filter中,具体实施步骤如下：
[0017](i)将交换芯片的网口作WAN网口、LAN网口划分；
[0018](ii)在Linux内核ebtable层网络驱动中修改以太网二层网络协议字段， 增加phy结构体指针；
[0019](iii)向网络协议中增加两个字段：src_phy_name(源网口名称)和 dst_phy_name(目标网口名称)，当通信流量进入ebtable层转换时，将源网口 编码和目标网口编码复制到新增加的phy对象字段中，继续Net filter层传递。
[0020]进一步的，所述src_phy_name(源网口名称)为在Net filter中与MAC地 址进行比对的对象，具体比对步骤如下：
[0021](i)判断MAC地址是否在白名单中，并判断MAC地址是否为指定的网口接 入；
[0022](ii)如果同时满足白名单和指定网口接入的条件，MAC地址可以进入后续 流程中，如果不满足白名单和/或指定网口接入的条件，则对该MAC地址进行阻 断。
[0023]与现有技术相比，本专利技术具有以下有益效果：通过使用基于MIPS架构的MTKSOC方案实现物理口和MAC及IP的终端准入管控的智能网关，降低了成本，可 以大量部署在网络边缘，同时使用的MTK芯片能够大幅降低功耗。
[0024]本专利技术的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐 述，并且在某种程度上，基于对下文的考察研究对本领域技术人员而言将是显 而易见的，或者可以从本专利技术的实践中得到教导。本专利技术的目标和其他优点可 以通过下面的说明书来实现和获得。
具体实施方式
[0025]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将对本专利技术实 施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一 部分实施例，而不是全部的实施例。
[0026]在本专利技术的上述描述中，需要说明的是，该专利技术产品使用时惯常摆放的 方位或位置关系，仅是为了便于描述本专利技术和简化描述，而不是指示或暗示 所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不 能理解为对本专利技术的限制。此外，术语“第一”、“第二”等仅用于区分描述， 而不能理解为指示或暗示相对重要性。
[0027]此外，术语“相同”等术语并不表示要求部件绝对相同，而是可以存在微 小的差异。术语“垂直”仅仅是指部件之间的位置关系相对“平行”而言更加 垂直，并不是表示该结构一定要完全垂直，而是可以稍微倾斜。
[0028]以下描述用于揭露本专利技术以使本领域技术人员能够实现本专利技术。以下描述 中的优选实施例只作为举例，本领域技术人员可以想到其他显而易见的变型。
[0029]一种基于智能路由器物理口和MAC及IP的终端准入，包括以下两大部分：
[0030](1)让同网段网络数据走Linux内核网络子系统net filter，在net filter中执行准入策略判定函数，实现各个网口的软隔离，具体实施步骤如下：
[0031](i)取用一个支持多个网口的SOC芯片，所述SOC芯片具体为MTK7621系、 MTK7628系、MKT7620系SOC芯片中的一个，将SOC芯片的每个网口单独划分一 个虚拟局域网；实现每个网口都成为一个虚拟网络孤岛，每个网口之间通信必 须跨虚拟局域网通信；
[0032](ii)将每个虚拟局域网都挂载到同一个网桥中，实现虚拟局域网孤岛直 接的通信；
[0033](iii)将每一个虚拟局域网获取的通信流量，向Linux内核Net filter中 发送；
[0034](iv)Net filter将处理后通信流量送入网桥，并经由网桥将处理后的通 信流量送往除发送网口以外的其它网口；
[0035](2)识别MAC终端是从哪个物理网口中接入的，进而判定是否被允许从该 物理口接入，在Linux内核网络子系统的网络二层驱动中增加phy字段，标识 流量的网口编码，并将编码传入Net filter中,具体实本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于智能路由器物理口和MAC及IP的终端准入，其特征在于，包括以下两大部分：(1)让同网段网络数据走Linux内核网络子系统Net filter，在Net filter中执行准入策略判定函数，实现各个网口的软隔离，具体实施步骤如下：(i)取用一个支持多个网口的SOC芯片，所述SOC芯片具体为MTK7621系、MTK7628系、MKT7620系SOC芯片中的一个，将SOC芯片的每个网口单独划分一个虚拟局域网；(ii)将每个虚拟局域网都挂载到同一个网桥中；(iii)将每一个虚拟局域网获取的通信流量，向Linux内核Net filter中发送；(iv)Net filter将处理后通信流量送入网桥，并经由网桥将处理后的通信流量送往除发送网口以外的其它网口；(2)识别MAC终端是从哪个物理网口中接入的，进而判定是否被允许从该物理口接入，在Linux内核网络子系统的网络二层驱动中增加phy字段，标识流量的网口编码，并将编码传入Ne...

【专利技术属性】
技术研发人员：顾铠羟，
申请(专利权)人：北京辰信领创信息技术有限公司，
类型：发明
国别省市：