基于交换机双重绑定的局域网终端准入控制方法

基于交换机双重绑定的局域网终端准入控制方法
【技术领域】
[0001]本发明涉及一种局域网终端准入控制方法，尤其涉及的是一种基于交换机双重绑定的局域网终端准入控制方法。
【背景技术】
[0002]随着电力信息网络规模的不断扩大，信息网络地址资源池规模及信息终端数量也不断增大。受限于有限的运行维护人员，终端的安全准入控制的高效、准确执行成为电力信息网络运维及信息安全工作中的重点。
[0003]网络准入控制技术通常包括:802.lx准入控制、DHCP准入控制、网关型准入控制、ARP型准入控制、portal型准入，其中以IEEE802.lx技术应用较多。IEEE802.1X是在利用LAN交换机和无线LAN接入点之前对用户进行认证的技术。普通LAN交换机将缆线连接到端口上即可使用LAN。不过，支持802.1X的LAN交换机连接缆线后也不能直接使用LAN。只有在对连接的个人电脑进行认证、确认是合法用户以后才能使用LAN。通过认证，LAN交换机就可以通过或者屏蔽用户发送过来的信息。无线LAN接入点也基本上采用这一工作原理。802.lx作为准入控制业界标准具有一定的灵活性和安全性，但由于对网络设备的标准性和规范性要求较高，无法较好的适应设备类型多、不完全支持802.lx的电力信息网络。
[0004]传统电力信息系统中，终端准入控制主要依赖运维人员人工维护终端及地址资源台账；并通过第三方审计工具发现异常终端，再开展处理措施。这种现有的控制方式中，地址资源及终端准入管理工作手段较为原始，存在有无法事先发现非法接入终端、不能对网络中存在安全风险的终端设备进行及时的隔离等操作问题，给电力信息网络安全带来安全隐患。

【发明内容】

[0005]本发明的目的在于克服现有技术的不足，基于网络地址、终端设备、交换机台账库，提供了一种基于交换机双重绑定的局域网终端准入控制方法，从全局角度对网络资源及安全准入行为进行集中管理，统一实施安全策略，提高网络终端的主动抵抗能力。
[0006]本发明是通过以下技术方案实现的:基于交换机双重绑定的局域网终端准入控制方法，包括如下步骤:
[0007](1)、自动获取当前网络中的IP地址段信息、终端设备的MAC地址和Vlan信息；
[0008](2)、自动获取当前网络中的核心交换机和接入层交换机；
[0009](3)、动态扫描当前网络中的核心交换机和接入层交换机，并以Vlan信息为关键字段，确定Vlan信息对应的核心交换机集合和接入层交换机集合；
[0010](4)自动扫描当前网络中，获取以Vlan信息为关键字段对应的所有的IP地址信息;
[0011](5)判断当前网络中Vlan信息对应的IP地址信息是否与当前网络中已经在用的终端的设备的IP地址对应；
[0012](6)若当前网络中Vlan信息对应的IP地址信息与当前网络中已经在用的终端设备的IP地址一一对应，将Vlan信息、当前网络中已经在用的终端设备的IP地址与实际的MAC地址在核心交换机上执行ARP绑定；
[0013](7)若当前网络中Vlan信息对应的IP地址信息与当前网络中已经在用的终端设备的IP地址不——对应，将Vlan信息、IP地址段与虚拟的MAC地址在核心交换机上执行ARP绑定；
[0014](8)经过步骤(6)处理ARP绑定，确定实际的MAC地址的终端设备在接入层交换机的接入端口，并将接入层交换机的接入端口和实际MAC地址进行端口绑定。
[0015]作为上述方案的进一步优化，还包括建立网络地址、终端设备、交换机台账库。
[0016]与已有技术相比，本发明的一种基于交换机双重绑定的局域网终端准入控制方法的有益效果体现在:
[0017]本发明公开了一种基于交换机双重绑定的局域网终端准入控制方法，建立网络地址和物理终端的对应关系，且建立物理地址和终端与交换机端口的对应关系。在核心交换机上建立网络地址和物理终端的ARP绑定，在接入层交换机上建立接入层交换机端口与物理终端的地MAC地址绑定，通过双重对应绑定，隔离异常终端设备，防止没有在系统中注册登记和绑定的设备接入。
【附图说明】
[0018]图1是本发明一种基于交换机双重绑定的局域网终端准入控制方法的流程图。
【具体实施方式】
[0019]下面将综合附图对本发明进行详细说明，对本发明实施例中的技术方案进行清楚、完善的描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0020]一种基于交换机双重绑定的局域网终端准入控制方法，首先建立网络地址、终端设备、交换机台账库，参见图1，图1是本发明一种基于交换机双重绑定的局域网终端准入控制方法的流程图，具体包括如下步骤:
[0021](1)、自动获取当前网络中的IP地址段信息、终端设备的MAC地址和Vlan信息；
[0022](2)、自动获取当前网络中的核心交换机和接入层交换机；
[0023](3)、动态扫描当前网络中的核心交换机和接入层交换机，并以Vlan信息为关键字段，确定Vlan信息对应的核心交换机集合和接入层交换机集合；
[0024](4)自动扫描当前网络中，获取以Vlan信息为关键字段对应的所有的IP地址信息;
[0025](5)判断当前网络中Vlan信息对应的IP地址信息是否与当前网络中已经在用的终端的设备的IP地址对应；
[0026](6)若当前网络中Vlan信息对应的IP地址信息与当前网络中已经在用的终端设备的IP地址一一对应，将Vlan信息、当前网络中已经在用的终端设备的IP地址与实际的MAC地址在核心交换机上执行ARP绑定；
[0027]其中，在核心交换机自动执行ARP绑定操作，ARP绑定命令:arpstatic [IPAddress] [Macaddress] [Vlanld]。其中，[IPAddress]、[Macaddress]、[Vlanld]信息分别为终端设备实际的IP地址、终端设备实际的Mac地址和实际的Vlan，对终端设备进行了 ARP绑定之后，则在当前网络中对应的终端设备只能使用绑定的IP地址，否则将不能通信。
[0028](7)若当前网络中Vlan信息对应的IP地址段信息与当前网络中已经在用的终端设备的IP地址不——对应，将Vlan信息、IP地址段与虚拟的MAC地址在核心交换机上执行ARP绑定；
[0029]若为空闲地址，在核心交换机上执行ARP绑定操作，ARP绑定命令如下:arpstatic [IPAddress] [Macaddress] [Vlanld]，其中[IPAddress]、[Macaddress]、[Vlanld]信息分别为终端设备实际的IP地址、虚拟的Mac地址(1000-0000-0001)和实际Vlan。从而实现对当前网络中的地址资源中所有的网络地址的管理。在对当前网络中没有注册绑定的终端设备在网络中不能通信即阻止未知终端设备接入。
[0030](8)经过步骤(6)处理ARP绑定，确定实际的MAC地址的终端设备在接入层交换机的接入端口，并将接入层交换机的接入端口和实际MAC地址进行端口绑定。
[0031]对应终端设备在接入层交换机的接入端口，记为需要绑定的端口，在接入层交换机执行端口、Mac地址绑定，绑定命令:macaddress static[MacAddress]interface [Interface]。其中，[MacAddress]、[Intefacer]对应分别为实际的需要绑定的Mac地址和实际的端口。通过控制所有的终端设备接入交换机的端口，更改端口即不能再网络中通信，同时也阻止了未知终端设备接入网络中进行通信。
[0032]通过上述的基于交换机双重绑定的局域网终端准入控制方法，通过双重对应绑定，对当前网络中所有已规划地址资源的IP地址都进行ARP绑定，包括已分配的终端设备、保护的