专利名称:一种网络终端管理的方法
技术领域:
本发明涉及网络管理中的设备管理,尤其涉及一种网络终端管理方法。
背景技术:
在金融、电信、公安等政府部门及行业中,由于其信息具有高度保密性的要求,对 于部门及企业内部网络需要进行严格的管理和控制,所有未经过允许和认证的终端都不能 接入到部门及企业内部网络中。对网络终端的接入进行管理便是一种重要的网络终端管理和控制手段,通常使用 人工的方法来进行管理人工对所有可以接入内网的网络端口进行管理和分配,对每一个 允许接入的终端分配一个IP地址,记录终端的MAC地址,接入的网络端口地址;对网络端口 进行人工管理和控制,固定接入位置,对所有可以接入内网的办公区域进行门禁及人工控 制,合法的终端在配置分配的IP地址后,在分配的固定位置接入到部门及企业内部网络;
使用人工管理和区域控制的方法对网络终端的接入进行管理存在着以下问题管理成 本较高;无法完全有效的接入终端进行控制。本发明中提供的方法和系统,提供了一种通过SNMP和Telnet/SSH方式自动获取 内网核心交换机上各个端口下联终端
的方法,自动进行比对和匹配,对于不被允许的终端自动阻断,不允许接入部门及企业 内网,对于允许的终端则自动放行,从而能够节约人工管理的成本,又提供了完整有效的终 端管理。
发明内容
SNMP Simple Network Management Protocol Telne t In terne t远程登陆服务的一种协议和方式
SSHJB Secure Shell,为建立在应用层和传输层基础上的安全协议 IP地址,指Internet Protocol地址,为每个连接在Internet上的主机分配的一个 32bit地址
MAC地址,指Media Access Control地址,用来定义网络设备的位置 PORT交换机的端口,也可称为接口。
本发明提供了一种网络管理中的终端管理方法,该方法包括自动对终端进行阻断和自 动进行放行的方法。本发明中,所述自动对终端进行阻断和自动进行放行的方法,其步骤为1)通过自 动导入或者人工编辑的方法录入交换机端口与终端的IP地址、MAC的对应关系;2)设置终 端匹配规则;3)手工录入需要进行管理的内网的子网地址、子网掩码、读团体字,获取网络 中的核心交换机信息,手工配置核心交换机的读团体字;或者手工录入每台核心交换机的IP地址、Telnet/SSH的帐号、Telnet/SSH的端口号、Telnet/SSH的密码、Telnet的特权模 式提示符、Telnet的特权密码、Telnet的命令提示符;4)获取核心交换机的端口列表信 息;5)获取核心交换机每个端口下联的MAC地址信息;6)获取网络中IP地址与MAC的对 应关系列表;7)根据配置的终端匹配规则,对步骤3)、4)、5)中获取到核心交换机端口、IP 地址、MAC地址与步骤1)中自动导入或者人工录入的交换机端口、IP地址、MAC地址信息进 行匹配;8)对于不符合匹配规则的终端进行阻断,对于符合匹配规则的终端进行放行。本发明中,所述步骤1)中自动导入交换机端口与终端的IP地址、MAC的对应关系, 采用但不限于以下的文件格式EXCEL、XML、TXT。本发明中,所述步骤2)中的终端匹配规则可以采用三种规则核心交换机端口与 终端IP地址绑定、核心交换机端口与终端MAC地址绑定、核心交换机端口与终端IP地址以 及MAC地址绑定。本发明中,所述步骤3)获取网络中的核心交换机的端口列表信息,采用SNMP方 式自动对网络进行扫描,通过· iso. org. dod. internet, mgmt. mib-2. interfaces, if Tab Ie MIB项,获取核心交换机的端口列表信息;同时,支持通过Telnet/SSH方式,自动远程登录 到核心交换机上,执行命令,获取核心交换机的端口列表信息;
本发明中,所述步骤1)、2 )、3 ),其顺序可以任意交换。本发明中,所述步骤5)获取核心交换机每个端口下联的MAC地址信息,通过SNMP 方式获取地址转发表信息中类型为3 (learned)的端口 ID与MAC地址信息,并获取端口 ID 与端口索引号的对应信息,对应得到端口索引与MAC地址信息的对应关系,并根据生成树 算法过滤掉其中的交换机互联的端口 ;同时,也可以通过Telnet/SSH方式,根据命令获取 端口下联的MAC地址信息;
本发明中,所述步骤4)、5),在使用Telnet/SSH方式时,则为一个步骤,通过一个命令, 获取到核心交换机的端口列表及端口下联的MAC信息。本发明中,所述步骤6)获取网络中IP地址与MAC的对应关系列表,通过SNMP方 5^1 IP · iso. org. dod. internet, mgmt. mib-2. ip. ipNetToMediaTable ^ W 获得IP地址与MAC地址的对应关系,对于其中一个IP地址对应多个MAC的情况,对IP地 址进行PING测试,取其中可以IP地址作为有效的IP地址;同时,也可以通过Telnet/SSH 方式,通过命令获取IP地址和MAC地址的对应关系,对IP地址进行PING测试,取其中可以 IP地址作为有效的IP地址。本发明中,所述步骤8)对于不符合匹配规则的终端进行阻断/对于符合匹配规 则的终端进行放行,通过SNMP方式设置端口管理状态为down,则对不匹配的终端进行阻 断;通过SNMP方式设置端口管理状态为up,则对匹配的终端进行放行;同时,也可以通过 Telnet/SSH方式,通过命令设置端口的管理状态为down,阻断不匹配的终端,设置端口的 管理状态为up,放行匹配的终端。本发明中,所述步骤8)中,阻断终端或者放行终端成功后,并且终端的连接状态有 变化时,将发送阻断/放行成功提示,提示形式可以为Web信息、短信、邮件、声音;当阻断 失败或者放行失败后,将发送阻断/放行失败告警通知,通知形式可以为Web信息、短信、邮
件、声音。本发明中,所述步骤5)、6)、7)、8)采用定时任务的方式,定时进行该4个步骤的执行,其定时任务执行时间、执行时间间隔、执行时间间隔单位可以进行设置。综上所述,由于采用了上述技术方案,本发明的有益效果是可以完整、自动的对 部门和企业的网络进行管理,管理所有接入网络的终端,既节约了人工管理的成本,又能自 动、及时、准确的对终端进行阻断和放行,有效保证了部门及企业网络和信息的安全性、保 密性。
本发明将通过例子并参照附图的方式说明,其中 图1.网络终端管理原理
图2.网络终端管理消息交互图 图3.网络终端管理步骤
图4. SNMP方式核心交换机端口下联IP/MAC发现步骤 图5. Telnet方式核心交换机端口下联IP/MAC发现步骤 图6.网络终端匹配及阻断/放行步骤。
具体实施例方式本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥 的特征和/或步骤以外,均可以以任何方式组合。本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙 述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只 是一系列等效或类似特征中的一个例子而已。
具体实施方式
1
下面将结合附图对本发明做进一步的说明
如图1所示,本发明网络终端管理方法工作原理为进行网络中IP/MAC/PORT信息、匹配 规则的存储,发送指令到核心交换机,获取交换机信息,进行匹配处理,根据匹配结果发送 指令到核心交换机管理交换机端口,通过核心交换机管理交换机下联的网络终端。如图2、图3所示,网络终端管理的步骤为1)通过EXCEL/XML/TXT文件方式导入 IP/MAC/PORT信息,并进行手工编辑管理;2)设置匹配规则为IP-MAC_P0RT完整匹配;3)手 工编辑需要发现的核心交换机子网IP地址、子网掩码、读团体字,通过SNMP方式获取核心 交换机信息;通过SNMP方式获取核心交换机端口列表;4)通过SNMP方式获取核心交换机 端口下联MAC地址信息;5)通过SNMP获取IP地址与MAC的对应关系;6)获取设置的匹配 规则,获取设置的匹配信息;7)对获取到的所有IP、MAC、PORT,根据匹配规则,与设置的匹 配信息进行比对,符合设置的匹配信息则匹配成功,进行放行标识;不符合设置的匹配信息 则匹配失败,进行阻断标识;8)通过SNMP方式发送消息给核心交换机,对标识为放行的核 心交换机端口进行放行;对标识为阻断的核心交换机端口进行阻断;9)阻断/放行成功后, 并且网络终端的连接状态发送变化,发送阻断/放行成功WEB消息告警;阻断/放行失败, 发送阻断/放行失败WEB消息告警。如图5所示,SNMP方式核心交换机端口下联IP/MAC发现步骤为1)通过给核心交换机发送SNMP GET命令,使用OID :1. 3. 6. 1. 2. 1. 2. 2,获取核心交换机端口列表 ifTable ;2)通过给核心交换机发送SNMP GET命令,使用OID . 1. 3. 6. 1. 2. 1. 17. 4. 4, 获取地址转发信息dotIdTpFdbTabIe列表,列表信息中包括以下三项dotldTpFdbPort、 dotldTpFdbAddress、dotldTpFdbStatus ;3)根据 dotldTpFdl^tatus 状态对地址转 发信息进行过滤,只保留CbtldTpFdbMatus为3(learned)的地址转发信息;4)通过 给核心交换机发送SNMP GET命令,使用OID :1. 3. 6. 1. 2. 1. 17. 1. 4,获取端口 ID/索 引映射关系dotIdBasePortTabIe列表,列表信息中包括以下两项dotldBasePort、 dotldBasePortlflndex ;5)根据ID/索引映射关系,结合步骤3)中的地址转发信息,获 得端口索引、下联MAC地址对应关系列表;6)根据生成树算法过滤掉交换机互联端口 ;7) 通过给核心交换机发送SNMP GET命令,使用OID 1. 3. 6. 1.2. 1.4. 22,获取到IP/MAC对 应关系ipNet^ToMediaTable列表,列表信息中包括以下两项dpNet^ToMediaNetAddress、 ipNetToMediaPhysAddress ;8)过滤其中一个MAC对应多个 IP 的 IP/MAC对,对 IP进行 ICMP PING操作,只保留可以PING通的IP地址;9)根据步骤6)、7)中的信息进行关联,得到交换 机端口索引与下联的IP地址、MAC地址关联关系列表。如图6所示,网络终端匹配及阻断/放行步骤为1)获取自动导入的IP-MAC-P0RT 匹配信息列表,其中PORT为端口索引;2)轮询处理在核心交换机中发现的IP/MAC/ PORT对,与步骤1)中的IP-MAC-P0RT匹配信息列表进行比对;3)匹配成功,并且当前 端口管理状态为down的,则通过给核心交换机发送SNMP SET命令开通端口,使用OID 1. 3. 6. 1. 2. 1. 2. 2. 1. 7. ifindex (ifindex为端口索引)放行网络终端设备;匹配失败,并 且当前端口管理状态为up的,则通过核心交换机发送SNMP SET命令关闭端口,使用OID 1.3.6. 1.2. 1.2.2. 1.7. ifindex (ifindex为端口索引),阻断网络终端设备;4)操作成功, 则发送阻断/放行成功WEB告警;操作失败,则发送阻断/放行失败WEB告警。
具体实施方式
2
下面将结合附图对本发明做进一步的说明
如图1所示,本发明网络终端管理方法工作原理为进行网络中IP/MAC/P0RT信息、匹配 规则的存储,发送指令到核心交换机,获取交换机信息,进行匹配处理,根据匹配结果发送 指令到核心交换机管理交换机端口,通过核心交换机管理交换机下联的网络终端。如图2、图3所示,网络终端管理的步骤为1)通过EXCEL/XML/TXT文件方式导 入IP/MAC/P0RT信息,并进行手工编辑管理,其中PORT为端口名称;2)设置匹配规则为 IP-MAC-P0RT完整匹配;3)手工编辑核心交换机的IP地址、TeInet端口号、TeInet用户名、 Telnet密码、操作命令提示符、特权模式命令、特权密码、特权命令提示符;4)通过Telnet 方式获取核心交换机端口下联MAC地址信息;5)通过Telnet方式获取IP地址与MAC的对 应关系;6)获取设置的匹配规则,获取设置的匹配信息;7)对获取到的所有IP、MAC、PORT, 根据匹配规则,与设置的匹配信息进行比对,符合设置的匹配信息则匹配成功,进行放行标 识;不符合设置的匹配信息则匹配失败,进行阻断标识;8)通过Telnet方式发送命令到核 心交换机,对标识为放行的核心交换机端口进行放行;对标识为阻断的核心交换机端口进 行阻断;9)阻断/放行成功后,并且网络终端的连接状态发送变化,发送阻断/放行成功 WEB消息告警;阻断/放行失败,发送阻断/放行失败WEB消息告警。如图4所示,以cisco;35M为例,Telnet方式核心交换机端口下联IP/MAC发现步骤为1)与核心交换机建立Telnet连接,传入用户名、密码,进行登录;2)登录成功 后,切换到特权模式;3)特权模式登录;4)特权模式登录成功后,传入命令sh mac,获取核 心交换机端口及端口下联MAC信息;5)解析命令结果,获取Destination Address (MAC地 址)、Destination Port (端口名称),得到交换机的端口列表及端口下联的MAC地址;6)传 入命令sh arp,获取Address、Hardware Addr,获取IP/MAC对应信息列表;7)过滤其中一 个MAC对应多个IP的IP/MAC对,对IP进行ICMP PING操作,只保留可以PING通的IP地 址;8)根据步骤5)、6)中的信息进行关联,得到交换机端口名称与下联的IP地址、MAC地址 关联关系列表。如图6所示,网络终端匹配及阻断/放行步骤为1)获取自动导入的IP-MAC-PORT 匹配信息列表;2)轮询处理在核心交换机中发现的IP/MAC/PORT对,与步骤1)中的 IP-MAC-PORT匹配信息列表进行比对;3)匹配成功,并且当前端口管理状态为down的,则通 过命令交换机名(conf ig) interface端口名,进入核心交换机接口配置模式中对应端口, 发送no shutdown命令,打开端口放行网络终端设备;匹配失败,并且当前端口管理状态为 up的,则通过命令交换机名(configMinterface端口名,进入核心交换机接口配置模式中 对应端口,发送shutdown命令,关闭端口阻断网络终端设备;4)操作成功,则发送阻断/放 行成功WEB告警;操作失败,则发送阻断/放行失败WEB告警。本发明并不局限于前述的具体实施方式
。本发明扩展到任何在本说明书中披 露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
权利要求
1.一种网络终端管理方法,其特征在于步骤包括1)通过自动导入或者人工编辑的方法录入交换机端口与终端的 IP地址、MAC的对应关系;2)设置终端匹配规则;3)手工录入需要进行管理的内网的子网 地址、子网掩码、读团体字,获取网络中的核心交换机信息,手工配置核心交换机的读团体 字;或者手工录入每台核心交换机的IP地址、Telnet/SSH的帐号、Telnet/SSH的端口号、 Telnet/SSH的密码、Telnet的特权模式提示符、Telnet的特权密码、Telnet的命令提示 符;4)获取核心交换机的端口列表信息;5)获取核心交换机每个端口下联的MAC地址信 息;6)获取网络中IP地址与MAC的对应关系列表;7)根据配置的终端匹配规则,对步骤 3)、4)、5)中获取到核心交换机端口、IP地址、MAC地址与步骤1)中自动导入或者人工录入 的交换机端口、IP地址、MAC地址信息进行匹配;8)对于不符合匹配规则的终端进行阻断, 对于符合匹配规则的终端进行放行。
2.根据权利要求1所述的一种网络终端管理方法,其特征在于前述步骤5)获取核心 交换机每个端口下联的MAC地址信息的具体工作流程是,通过SNMP方式获取地址转发表信 息中类型为3的端口 ID与MAC地址信息,并获取端口 ID与端口索引号的对应信息,对应得 到端口索引与MAC地址信息的对应关系,并根据生成树算法过滤掉其中的交换机互联的端 口 ;同时,通过Telnet/SSH方式,根据命令获取端口下联的MAC地址信息。
3.根据权利要求1所述的一种网络终端管理方法,其特征在于所述步骤6)获取网 络中IP地址与MAC的对应关系列表的具体工作流程是,通过SNMP方式获取IP表中.iso. org. dod. internet, mgmt. mib-2. ip. ipNet^ToMedial^able 表项的内容,获得 IP地址与MAC地 址的对应关系,对于其中一个IP地址对应多个MAC的情况,对IP地址进行PING测试,取其 中可以IP地址作为有效的IP地址;同时,通过Telnet/SSH方式,通过命令获取IP地址和 MAC地址的对应关系,对IP地址进行PING测试,取其中可以IP地址作为有效的IP地址。
4.根据权利要求1所述的一种网络终端管理方法,其特征在于所述步骤8)对于不符 合匹配规则的终端进行阻断,对于符合匹配规则的终端进行放行的具体工作流程是,通过 SNMP方式设置端口管理状态为down,则对不匹配的终端进行阻断;通过SNMP方式设置端口 管理状态为up,则对匹配的终端进行放行;同时,通过Telnet/SSH方式,通过命令设置端口 的管理状态为down,阻断不匹配的终端,设置端口的管理状态为up,放行匹配的终端。
5.根据权利要求1所述的一种网络终端管理方法,其特征还在于步骤8)对于不符合 匹配规则的终端进行阻断,对于符合匹配规则的终端进行放行的具体工作流程还可以是, 阻断终端或者放行终端成功后,并且终端的连接状态有变化时,将发送阻断/放行成功提 示,提示形式可以为Web信息、短信、邮件、声音;当阻断失败或者放行失败后,将发送阻断/ 放行失败告警通知,通知形式可以为Web信息、短信、邮件、声音。
6.一种如权利要求1所述的一种网络终端管理方法,其特征在于步骤1)、2)、3),其顺 序可以任意交换。
7.根据权利要求1所述的一种网络终端管理方法,其特征还在于前述步骤4)、5)的 工作流程,在使用Telnet/SSH方式时,可以通过一个命令,同时获取到所述核心交换机的 端口列表及所述端口下联的MAC信息。
8.根据权利要求1所述的一种网络终端管理方法,其特征还在于步骤5)、6)、7)、8)采 用定时任务的方式,定时进行该4个步骤的执行,其定时任务执行时间、执行时间间隔、执行时间间隔单位可以进行设置。
全文摘要
本发明公开了一种网络终端设备管理方法。其方法步骤包括1)录入交换机端口与终端的IP地址、MAC的对应关系;2)设置终端匹配规则;3)录入需要进行管理的SNMP网络相关信息;或者手工录入每台核心交换机的Telnet/SSH相关信息;4)获取核心交换机的端口列表信息;5)获取核心交换机每个端口下联的MAC地址信息;6)获取网络中IP地址与MAC的对应关系列表;7)根据配置的终端匹配规则,对核心交换机端口、IP地址、MAC地址进行匹配;8)对于不符合匹配规则的终端进行阻断,对于符合匹配规则的终端进行放行,对操作结果进行告警。
文档编号H04L12/24GK102123050SQ20111005476
公开日2011年7月13日 申请日期2011年3月9日 优先权日2011年3月9日
发明者廖昕, 李惠, 杨涛, 陈松 申请人:成都勤智数码科技有限公司