专利名称:一种用于控制局域网络内的多台计算机的方法
技术领域:
本发明涉及计算机的局域网接入控制方法,尤其涉及计算机接入局域网后对其交 换机端口的控制方法。
背景技术:
当前,人们在探讨和交流技术时经常使用笔记本电脑,这种技术沟通方式往往见 诸于企业的会议室场合。为了满足企业人员可随时访问企业内部的局域网络,会议室的网 络接口对应于特定的交换机端口。当公司的IT人员开通相应的交换机端口时,该会议室的 所有笔记本电脑电性连接到网络接口时,都可顺利而毫无阻拦地接入上述局域网络。一方面,企业内部的笔记本电脑接入局域网络后,其自身所安装的数据安全软件、 防毒软件或其它应用软件都可以很好地防止病毒经由网络感染至其他的计算机。但是,从 另一方面来考虑,如果企业外的客户计算机接入局域网络后,其自身的安全防护性能不可 预知,一旦感染了病毒并通过网络蔓延开来,将会给IT人员维护局域网带来难以想象的困 扰。有鉴于此,如何设计出一种理想的控制方案,以便在外来计算机不慎接入局域网 后也可及时加以拦截,是业内相关技术人员面临的一项课题。
发明内容
针对现有技术中在局域网络内监控所接入的计算机时所存在的上述缺陷,本发明 提供了一种新型的控制方法,该方法可以准确地甄别计算机的归属类型,并依据其归属类 型来对交换机端口进行相关操作。根据本发明的一个方面,提供了一种用于控制局域网络内的多台计算机的方法, 包括计算机向DHCP (Dynamic Host Configure Protocol,动态主机配置协议)服务器 请求分配IP地址;DHCP服务器向该计算机分配IP地址,记录计算机的主机名称、IP地址和 MAC (Media Access Control,媒体接入控制)地址;控管主机获取与MAC地址相对应的交换机端口信息;利用MAC地址和交换机端口信息,得到计算机的IP地址与交换机端口的匹配关 系;以及依据计算机的主机名称、IP地址与交换机端口的匹配关系,控管主机确定是否关 闭与计算机电性连接的交换机端口。其中,控管主机使用SNMP (Simple Network ManagementProtocol,简单网络管理 协议)指令来获取对应于MAC地址的交换机端口信息。其中,DHCP服务器将计算机的主机名称、IP地址和MAC地址组合为一 DHCP日志。其中,计算机的主机名称包括首码部分和尾码部分,并且控管主机通过该尾码部
3分来确定是否关闭与计算机电性连接的交换机端口。优选地,当尾码部分包括与企业名称 相关联的信息时,控管主机将相应的计算机默认为企业内部的计算机。优选地,当尾码部 分与企业名称相关联的信息匹配失败时,控管主机将相应的计算机认定为企业外部的计算 机,并关闭与该计算机电性连接的交换机端口。并且,控管主机是通过发送SNMP指令来关 闭交换机端口。采用本发明的控制方法,在接入局域网的任意计算机通过控管主机向DHCP服务 器请求IP地址后,DHCP服务器分配IP地址给该计算机,并记录计算机的主机名称、IP地址 和MAC地址,当控管主机利用SNMP指令获取与MAC地址相对应的交换机端口后,综合该计 算机的相关信息,并依据计算机的主机名称来确定是否关闭对应的交换机端口。因此,当外 来计算机接入局域网络后,该控制方法可以有效地侦测并定位该计算机具体的接入位置, 关闭与该计算机电性连接的交换机端口,更好地维护局域网络的安全。
读者在参照附图阅读了本发明的具体实施方式
以后,将会更清楚地了解本发明的 各个方面。其中,图1示出依据本发明的一实施例,用于控制局域网络内的多台计算机的整体架构 示意图;以及图2示出采用图1所示的整体架构来控制局域网络内的多台计算机的方法流程 图。
具体实施例方式下面参照附图,对本发明的具体实施方式
作进一步的详细描述。图1示出依据本发明的一实施例,用于控制局域网络内的多台计算机的整体架构 示意图。参照图1,在该整体架构中,不妨示意性地以两台计算机,即客户计算机111和公 司计算机113,来进行说明。本领域的普通技术人员应当理解,局域网中还可能有其他很多 台计算机,但从总的类型来分,大致都归为客户计算机(也称为域外计算机)和公司计算机 (也称为域内计算机)两大类。在本发明的一实施例中,可以通过计算机的主机名称来区分 所接入的计算机到底是域外计算机还是域内计算机,例如,将计算机的主机名称划分为首 码部分和尾码部分,对于域内计算机,一律采用与公司名称相关联的信息作为尾码部分,例 如,主机名称Host, corpnet. auo. com,其中Host被视为首码部分,corpnet. auo. com被视为 尾码部分。在本发明的一实施例中,如图1所示,客户计算机111电性连接至交换机30的交 换机端口 301,公司计算机113电性连接至交换机30的交换机端口 303,并且控管主机20 电性连接至交换机30,以及DHCP服务器40电性连接至交换机30。就客户计算机111而言,当客户计算机111通过交换机端口 301接入公司的局域 网时,首先计算机111向DHCP服务器40请求分配IP地址,该DHCP服务器40在接收到该 分配请求后,将一 IP地址分配给计算机111,例如,IP地址为10. 10. 40. 89,并记录计算机 111的主机名称、IP地址和MAC地址,例如,计算机111的主机名称为Host3,MAC地址为 0011256A63C9。优选地,DHCP服务器40将计算机的主机名称、IP地址和MAC地址组合为一DHCP日志,通过抓取该DHCP日志就可以了解与计算机相关的上述三类信息。接着,控管主机20发送一指令给交换机30,例如,该指令是SNMP Get指令,以获取 与MAC地址(即0011256A63C9)相对应的交换机端口信息。例如,计算机111的MAC地址 对应于交换机端口 301,它是交换机30的第三个端口 Port3。然后,控管主机20抓取来自 DHCP服务器40的DHCP日志,通过MAC地址和交换机端口信息来得到计算机的IP地址与 交换机端口的匹配关系,例如,该匹配关系显示的记录为10. 10. 40. 89,Host3,10. 10. 10. 1, Port3。也就是说,通过该匹配关系可以看出,客户计算机111的IP地址为10. 10. 40. 89,通 过交换机30的Port3端口接入局域网。此后,根据计算机111的主机名称(Host3)和所对应的交换机端口(Port3),由于 主机名称Host3不包含预先设定的尾码部分,则计算机111被认定为域外计算机,控管主机 20发送一指令给交换机30,以关闭计算机111所电性连接的交换机端口 301,即,关闭交换 机30的Port3。例如,这里控管主机20发送的指令是SNMPSet指令。类似地,就公司计算机113而言,当公司计算机113通过交换机端口 303接入公司 的局域网时,首先计算机113向DHCP服务器40请求分配IP地址,该DHCP服务器40在接 收到该分配请求后,将一 IP地址分配给计算机113,例如,IP地址为10. 10. 40. 46,并记录计 算机113的主机名称、IP地址和MAC地址,例如,计算机113的主机名称为Hostl. corpnet. auo. com,其MAC地址为00806475340E。优选地,DHCP服务器40将计算机的主机名称、IP 地址和MAC地址组合为一 DHCP日志,通过抓取该DHCP日志就可以了解与计算机相关的上 述三类信息。接着,控管主机20发送一指令给交换机30,例如,该指令是SNMP Get指令,以获 取与MAC地址(即00806475340E)相对应的交换机端口信息。例如,计算机113的MAC地 址对应于交换机端口 303,它是交换机30的第六个端口 Port6。然后,控管主机20抓取来 自DHCP服务器40的DHCP日志,通过MAC地址和交换机端口信息来得到计算机的IP地址 与交换机端口的匹配关系,例如,该匹配关系显示的记录为10. 10. 40. 46,Hostl. corpnet. auo. com, 10. 10. 10. l,Port6。也就是说,通过该匹配关系可以看出,公司计算机113所分配 的IP地址为10. 10. 40. 46,通过交换机30的Por6端口接入局域网。此后,根据计算机113的主机名称(Hostl. corpnet. auo. com)和所对应的交换机 端口(Port6),由于主机名称Hostl. corpnet. auo. com包含首码部分和尾码部分,并且其尾 码部分是与公司名称相关联的信息,则计算机113被认定为域内计算机,此时控管主机20 无需发送指令以使交换机30关闭其对应的交换机端口 303,即Port6。图2示出采用图1所示的整体架构来控制局域网络内的多台计算机的方法流程 图。对应于图1,该控制方法主要包括步骤S1,计算机向DHCP服务器请求分配IP地址,这里无论是客户计算机还是公司 计算机,在接入局域网络时首先会向DHCP服务器请求分配IP地址;步骤S2,DHCP服务器接收应答,将一 IP地址分配给计算机;步骤S3,DHCP服务器向该计算机分配了 IP地址后,记录计算机的主机名称、IP地 址和MAC地址,应当理解,通过计算机的MAC地址(例如计算机网络接口卡的物理地址)可 以唯一确定计算机所接入的交换机端口;步骤S4,控管主机向交换机发送一指令,以获取与计算机的MAC地址相对应的交换机端口信息;步骤S5,利用计算机的MAC地址和交换机端口信息,得到计算机的IP地址与交换 机端口的匹配关系。步骤S6,判断计算机的主机名称是否符合预先设定的要求(例如,主机名称分为 首码部分和尾码部分),当尾码部分与公司名称相关联时,执行步骤S8,计算机被确定为域 内计算机,无需关闭对应的交换机端口 ;当尾码部分与公司名称关联失败或者无尾码部分 时,执行步骤S7,计算机被确定为域外计算机,关闭与该计算机电性连接的交换机端口。采用本发明的控制方法,在接入局域网的任意计算机通过控管主机向DHCP服务 器请求IP地址后,DHCP服务器分配IP地址给该计算机,并记录计算机的主机名称、IP地址 和MAC地址,当控管主机利用SNMP指令获取与MAC地址相对应的交换机端口后,综合该计 算机的相关信息,并依据计算机的主机名称来确定是否关闭对应的交换机端口。因此,当外 来计算机接入局域网络后,该控制方法可以有效地侦测并定位该计算机具体的接入位置, 关闭与该计算机电性连接的交换机端口,更好地维护局域网络的安全。上文中,参照附图描述了本发明的具体实施方式
。但是,本领域中的普通技术人员 能够理解,在不偏离本发明的精神和范围的情况下,还可以对本发明的具体实施方式
作各 种变更和替换。这些变更和替换都落在本发明权利要求书所限定的范围内。
权利要求
一种用于控制局域网络内的多台计算机的方法,其特征在于,所述方法包括所述计算机向DHCP(Dynamic Host Configure Protocol,动态主机配置协议)服务器请求分配IP地址;所述DHCP服务器向所述计算机分配IP地址,记录所述计算机的主机名称、IP地址和MAC(Media Access Control,媒体接入控制)地址;控管主机获取与所述MAC地址相对应的交换机端口信息;利用所述MAC地址和交换机端口信息,得到所述计算机的IP地址与交换机端口的匹配关系;以及依据所述计算机的主机名称、IP地址与交换机端口的匹配关系,所述控管主机确定是否关闭与所述计算机电性连接的交换机端口。
2.如权利要求1所述的方法,其特征在于,所述控管主机使用SNMP(SimpleNetwork Management Protocol,简单网络管理协议)指令来获取对应于所述MAC地址的交换机端口信息ο
3.如权利要求1所述的方法,其特征在于,所述DHCP服务器将所述计算机的主机名称、 IP地址和MAC地址组合为一 DHCP日志。
4.如权利要求1所述的方法,其特征在于,所述计算机的主机名称包括首码部分和尾 码部分,并且所述控管主机通过该尾码部分来确定是否关闭与所述计算机电性连接的交换 机端口。
5.如权利要求4所述的方法,其特征在于,当所述尾码部分包括与企业名称相关联的 信息时,所述控管主机将相应的计算机默认为企业内部的计算机。
6.如权利要求4所述的方法,其特征在于,当所述尾码部分与企业名称相关联的信息 匹配失败时,所述控管主机将相应的计算机认定为企业外部的计算机,并关闭与该计算机 电性连接的交换机端口。
7.如权利要求6所述的方法,其特征在于,所述控管主机通过发送SNMP指令来关闭所 述交换机端口。
全文摘要
本发明提供了一种用于控制局域网络内的多台计算机的方法,包括计算机发出IP地址请求;分配IP地址,记录计算机的主机名称、IP地址和MAC地址;控管主机获取与MAC地址相对应的交换机端口信息;利用MAC地址和交换机端口信息,得到计算机的IP地址与交换机端口的匹配关系;以及依据计算机的主机名称、IP地址与交换机端口的匹配关系,控管主机确定是否关闭与计算机电性连接的交换机端口。采用本发明的控制方法,当外来计算机接入局域网络后,可以有效地侦测并定位该计算机的具体接入位置,从而关闭与该计算机电性连接的交换机端口,更好地维护局域网络安全。
文档编号H04L29/06GK101909089SQ201010198388
公开日2010年12月8日 申请日期2010年6月7日 优先权日2010年6月7日
发明者李坤翰, 王宝贤 申请人:友达光电股份有限公司