专利名称:实现网络设备mac/ip绑定的接入控制系统及方法
技术领域:
本发明属于一种通信网络安全技术领域,特别是涉及一种实现网络设备MAC/IP绑定的接入控制系统及方法。
背景技术:
在目前随着计算机和互联网发展,各个企事业单位为进一步实现信息化,都在企业内部组建了局域网,但是随着各单位局域网的规模不断扩大,如何有效地对通过以太网接入的终端进行接入控制越来越成为各企事业单位面临的重大安全问题。一般情况下,一台计算机只要正确地设置IP地址、网关等相关信息,并接上正确的网线,就可以访问企业的内部网络,如果不能加以有效的管理和控制,由此造成的安全隐患和安全事故将不可避免。
从目前IT业的解决方案看,通常解决该问题的方法有以下几种1、在接入交换机或网关交换机上实现MAC/IP地址绑定;2、设置接入网关,未经认证的终端不能访问核心网;3、使用DHCP动态为已授权终端分配IP地址;4、使用以上几种方法相结合。但是,从实际角度看,上述方式很难在大中型企业实施,主要原因有以下几点(1)必须将接入交换机或集线器全部更换为具备MAC/IP绑定功能设备,投资巨大。
(2)会更改现有的网络结构,工程实施复杂。
(3)无法解决在交换机下串接集线器的问题——如果在接入交换机下串接集线器,则在这些集线器下连接的终端设备就可以绕过交换机的MAC/IP绑定功能访问网络或相互访问——即使现在有些交换机支持802.1X MultiHost功能,但仍无法解决在集线器下终端相互访问的问题。
(4)维护工作巨大,无法大规模实施——由于需要分别在所有的接入交换机上单独配置策略,故在大中企业的复杂网络结构下,上述方法终因无法有效维护而难于实施。
(5)使用DHCP与网关认证相结合,会造成终端在认证前已获得部分网络访问权限。
(6)使用网关认证的用户必须使用用户名和密码,增加使用难度。
(7)一旦认证系统发生故障,将直接影响合法用户对网络资源的使用。
发明内容
本发明为解决公知技术中存在的技术问题而提供一种比较简单易行、维护工作量小的实现网络设备MAC/IP绑定的接入控制系统。
本发明为解决公知技术中存在的技术问题还提供一种应用上述系统实现网络设备MAC/IP绑定的接入控制方法。
本发明为解决公知技术中存在的技术问题所采取的实现网络设备MAC/IP绑定的接入控制系统技术方案是它包括有网络交换机、网络PC机或PC服务器,另外还包括有接入控制设备,所述的接入控制设备与网络交换机相连;所述的接入控制设备包括有计算机并安装至少一块网卡,并包含用于(1)探测并监听子网内活动的设备情况;(2)接收管理服务器下发的终端访问控制策略;(3)向管理服务器报告子网内设备活动情况;(4)阻止子网内未授权主机的接入;(5)保证子网内已授权主机在与未授权主机发生IP冲突时仍然可以正常访问网络;(6)未授权主机转变为已授权主机时的快速通信恢复的软件;在内部网中的任何一PC机、PC服务器或接入控制设备上,包含有用于向接入控制设备下发策略,接入控制设备上报的终端活动状态,记录终端活动日志和向策略配置客户端发送当前终端活动情况的管理服务器软件;在内部网中的任何一普通PC机上,包含有用于编辑并更新终端接入访问控制策略,显示当前企业网中活动的终端状态,连接管理服务器,向管理服务器下达策略更新的命令的策略配置客户端软件。
本发明实现网络设备MAC/IP绑定的接入控制系统技术方案还可以采用如下技术措施所述的计算机是X86架构计算机,所述的网卡是PCI接口的防火墙专用网卡。
所述的X86架构计算机是工业控制计算机。
所述的交换机也可以是集线器、二层以太网交换机、三层以太网交换机或其他支持802.3协议的以太网交换机。
本发明为解决公知技术中存在的技术问题所采取的实现网络设备MAC/IP绑定的接入控制方法是要将本发明实现网络设备MAC/IP绑定的接入控制系统中接入控制设备的网络端口用网线连接到被管子网的任何一个空闲的网络交换机的端口上,管理服务器和策略配置客户端可运行在网络中任何一台PC服务器或终端上,所述的方法包括以下步骤1)为接入控制设备的每个端口配置一个被管网段的IP地址,并将被管网段中的MAC/IP绑定策略通过策略配置客户端进行配置,然后使用管理服务器发布到各个接入控制设备;
2)接入控制设备随时接收来自管理服务器的最新的用户主机接入控制策略,并更新本地的策略库;3)接入控制设备周期性地向网络中发送ARP请求报文,以扫描网络中的用户主机的活动情况;4)接入控制设备随时监听网络中的ARP请求及ARP应答报文,当用户主机接入网络或收到接入控制设备的ARP请求时,分别向网络广播ARP请求或向接入控制设备发送ARP应答,请求和应答报文中携带用户主机的IP地址和MAC地址,接入控制设备将这些用户主机的活动信息更新到本地活动用户主机列表;5)接入控制设备在收到网络中主机发送的ARP报文后,根据活动用户主机列表中用户主机的MAC地址和IP地址信息,在接入控制策略表中进行匹配,并根据不同的情况进行处理A.接入用户主机的MAC/IP地址已被授权接入,不作任何处理,允许该用户主机接入网络;B.接入用户主机的MAC/IP地址未被授权接入,则由接入控制设备向子网内以较短的周期不间断广播ARP应答报文,其中报文中的源MAC地址为未授权主机的伪MAC地址,源IP地址为未授权主机IP地址,目的MAC地址为广播MAC地址,目的IP地址为广播IP地址;C.接入用户主机由未授权主机状态改变为已授权主机状态,则由接入控制设备向子网内广播ARP应答报文,其中报文中以太网帧头部的源MAC地址为接入控制设备的MAC地址,ARP报文区中的源MAC地址为要恢复通信主机的MAC地址,源IP地址为要恢复通信的用户主机的IP地址,所有目的MAC地址为广播MAC地址,所有的目的IP地址为广播IP地址;D.接入用户主机为未授权主机,且与已接入网络的已授权主机发生了IP地址冲突,则由接入控制设备以较短的周期不间断地向已授权主机发送ARP应答报文,其中报文中以太网帧头部的源MAC地址为接入控制设备的MAC地址,ARP报文区中的源MAC地址为被保护的已授权主机的MAC地址,源IP地址为该被保护的已授权主机的IP地址,所有的目的MAC地址为该被保护的已授权主机MAC地址,所有的目的IP地址为该被保护的已授权主机的IP地址;6)接入控制设备周期性检测用户主机的活动情况,如果长时间没有收到某用户主机的ARP请求和应答,则认为该用户主机已断开网络连接,并将该用户主机信息从本地活动用户主机列表中清除,同时终止向网络广播对应该用户主机的伪ARP应答;7)接入控制设备定期向管理服务器发送当前终端的接入状态,管理服务器进行记录,并将终端接入情况反馈策略配置客户端。
本发明具有的优点和积极效果是1、无需更换任何现有网络设备,无需对网络结构进行任何调整,原则上每个物理地点只需新增一台接入控制设备即可,大量节约资金,且实施简便易行。
2、完全解决交换机下挂集线器的问题,无论被管网段如何构成,均能完美地解决设备接入控制问题。
3、单点维护,全局部署——维护人员只需通过策略配置客户端就可一次完成全局策略的配置和终端接入情况的监控,管理服务器可将全部策略下发至每台接入控制设备,维护工作量极小,且简单易行。
4、完全兼容动态及静态IP地址的分配方法。
5、不改变任何用户的使用习惯,部署容易。
6、在接入控制设备出现故障的情况下,可不对网络用户造成影响,可满足一些特殊需求单位的使用要求。
7、厂商兼容性好,不受网络中原有接入设备的厂商多样化的限制。
8、占用网络带宽极低,完全不对正常网络通信造成影响。
9、可防止恶意攻击——当一台终端模拟多台计算机,就会使得某些使用类似原理的MAC/IP绑定技术的产品占用大量的网络带宽,而使用本方法则不会造成任何影响。
使用该方法实现MAC/IP地址绑定,可广泛应用于各类使用计算机及以太网的各型企事业单位。
图1是本发明的硬件布置图;图2是本发明的方法步骤图。
具体实施例方式
为能进一步了解本发明的内容、特点及功效,兹例举以下实施例,并配合附图详细说明如下请参阅图1,如果一个企业有三个物理地点第一个物理地点有一局域网1,通过对应局域网1相同网段的交换机1和路由器1与广域网相连;第二个物理地点也有一局域网2,通过对应局域网2相同网段的交换机2和路由器2与广域网相连;第三个物理地点有局域网3和局域网4,通过对应局域网3相同网段的交换机3、对应局域网4相同网段的交换机4和路由器3与广域网相连。而接入控制设备1与交换机1相连,接入控制设备2与交换机2相连,接入控制设备3则与交换机3和交换机4相连。策略配置客户端设在了局域网3的一台PC机上。管理服务器设在局域网1的一台PC机上。接入控制设备1和2是安装了一块防火墙专用网卡的工业控制计算机,而接入控制设备3是安装了两块防火墙专用网卡的工业控制计算机。
也就是每个物理地点不论有几个局域网都只需要安装一台接入控制设备。而管理服务器和配置客户端则可以安装在任何地点,且也可以由接入控制设备充当。
接入控制设备1、2、3用于(1)分别探测并监听子网内活动的设备情况;(2)接收管理服务器下发的终端访问控制策略;(3)向管理服务器报告子网内终端活动情况;(4)阻止子网内未授权主机的接入;(5)保证子网内已授权主机在与未授权主机发生IP冲突时仍然可以正常访问网络;(6)未授权主机转变为已授权主机时的快速通信恢复。
在局域网1的一台PC机上安装有用于向接入控制设备1、2、3下发策略,收集接入控制设备1、2、3上报的终端活动状态,记录终端活动日志和向策略配置客户端发送当前终端活动情况的管理服务器软件;在局域网3的一台PC机上安装有用于编辑并更新终端接入访问控制策略,显示当前企业网中活动的终端状态,连接管理服务器,向管理服务器下达策略更新的命令的策略配置客户端软件。
请参阅图2实现网络设备MAC/IP绑定的接入控制方法,要将该系统中接入控制设备的网络端口用网线连接到被管子网的任何一个空闲的网络交换机的端口上,管理服务器和策略配置客户端可运行在网络中任何一台PC服务器或终端上。采用本发明的接入控制方法,是利用周期性广播伪ARP应答报文,以通知网络中所有用户主机,并造成未授权主机IP冲突,同时用伪MAC刷新网络中各主机的ARP缓存,以阻止已授权主机与未授权主机之间的通信,从而实现MAC/IP址的绑定。其详细步骤如下1、接入控制设备随时接收来自管理服务器的最新的用户主机接入控制策略(用户将各个被管网段中的MAC/IP绑定策略通过策略配置客户端进行配置,然后使用管理服务器发布到各个接入控制设备),并判断是否接收成功。
2、接入控制设备使用成功接收的接入控制策略更新本地的接入控制策略库。
3、接入控制设备周期性地向网络中发送ARP请求报文,以扫描网络中的用户主机的活动情况。
4、接入控制设备随时监听网络中的ARP请求及ARP应答报文,当用户主机接入网络或收到接入控制设备的ARP请求时,会分别向网络广播ARP请求或向接入控制设备发送ARP应答,请求和应答报文中携带用户主机的IP地址和MAC地址,接入控制设备将这些用户主机的活动信息更新到本地活动用户主机列表。
5、接入控制设备在收到网络中用户主机发送的ARP报文后,根据活动用户主机列表中用户主机的MAC地址和IP地址信息,在接入控制策略表中进行匹配,得到活动用户主机接入状态后,根据不同的情况进行处理。
6、判断接入用户主机是否为未授权主机,并且与已接入网络的已授权主机发生了IP冲突。
7、判断接入用户主机的MAC/IP地址是否为未授权主机。
8、判断接入用户主机是否由未授权主机状态改变为已授权主机状态。
9、认定接入活动用户主机的MAC/IP地址已被授权接入,不作任何处理,允许该用户主机接入网络。
10、接入控制设备以较短的周期不间断地向合法用户主机发送ARP应答报文,其中报文中以太网帧头部的源MAC地址为接入控制设备的MAC地址,ARP报文区中的源MAC地址为被保护的已授权主机的MAC地址,源IP地址为该被保护的已授权主机的IP地址,所有的目的MAC地址为该被保护的已授权主机MAC地址,所有的目的IP地址为该被保护的已授权主机的IP地址,这样就可能保护已授权主机仍可正常访问网络,而未授权主机无法访问网络。(该方法中的关键点一与第12步相同,关键点二是在ARP报文中源地址和目的地址完全相同,这样做可以使被保护已授权主机发起周期性的ARP请求,由于ARP请求是以广播方式发送的,故会使用网络中其它设备的ARP缓存得以及时更新——即保护了该用户主机的访问权限,从而不受未授权主机IP冲突的影响)11、接入控制设备向子网内以较短的周期不间断广播ARP应答报文,其中报文中的源MAC地址为未授权主机的伪MAC地址,源IP地址为未授权主机IP地址,目的MAC地址为广播MAC地址,目的IP地址为广播IP地址,这样就使得所有该子网中的设备误以为该用户主机的MAC地址为接入控制设备发送的伪MAC地址,同时会使该未授权主机产生IP地址冲突,从而阻断未授权主机与已授权设备之间的通信,保证了终端接入的安全。
12、接入控制设备向子网内广播ARP应答报文,其中报文中以太网帧头部的源MAC地址为接入控制设备的MAC地址,ARP报文区中的源MAC地址为要恢复通信用户主机的MAC地址,源IP地址为要恢复通信用户主机的IP地址,所有目的MAC地址为广播MAC地址,所有的目的IP地址为广播IP地址,这样就能立即更新网络中各用户主机的ARP缓存,使得要恢复通信用户主机的MAC/IP地址信息在各用户主机ARP缓存中得以更正,从而实现通信的立即恢复(该方法中的关键在于以太网帧头部的源MAC地址为接入控制设备的MAC地址,与ARP报文部分的源MAC地址不同,这样做是因为二层交换机通过以太网帧头的源MAC地址判别对应用户主机所连接的端口,如果设置为与ARP头中的源MAC地址相同,则无法起到恢复通信的作用——即二层交换机仍会将发至要恢复用户主机的数据发送到接入控制设备所连接的端口上)13、接入控制设备周期性检测用户主机的活动情况,检测最后收到活动用户主机发送ARP报文的时间。
14、判断是否长时间没有收到某用户主机的ARP请求和应答。
15、判断该长时间未收到ARP报文的活动用户主机是否为未授权主机。
16、终止向网络广播对应该未授权主机的伪ARP应答。
17、认为该长时间未收到ARP报文的活动用户主机已断开网络连接,并将该用户主机信息从本地活动用户主机列表中清除。
18、接入控制设备定期向管理服务器发送当前终端的接入状态,管理服务器进行记录,并将终端接入情况反馈策略配置客户端。
19、检查接入控制设备是否接收到终止服务的指令。
权利要求
1.一种实现网络设备MAC/IP绑定的接入控制系统,它包括有网络交换机、网络PC机或PC服务器,其特征是它还包括有接入控制设备,所述的接入控制设备与网络交换机相连;所述的接入控制设备包括有计算机并安装至少一块网卡,并包含用于(1)探测并监听子网内活动的设备情况;(2)接收管理服务器下发的终端访问控制策略;(3)向管理服务器报告子网内设备活动情况;(4)阻止子网内未授权主机的接入;(5)保证子网内已授权主机在与未授权主机发生IP冲突时仍然可以正常访问网络;(6)未授权主机转变为已授权主机时的快速通信恢复的软件;在内部网中的任何一PC机、PC服务器或接入控制设备上,包含有用于向接入控制设备下发策略,接入控制设备上报的终端活动状态,记录终端活动日志和向策略配置客户端发送当前终端活动情况的管理服务器软件;在内部网中的任何一普通PC机上,包含有用于编辑并更新终端接入访问控制策略,显示当前企业网中活动的终端状态,连接管理服务器,向管理服务器下达策略更新的命令的策略配置客户端软件。
2.根据权利要求1所述的实现网络设备MAC/IP绑定的接入控制系统,其特征在于所述的计算机是X86架构计算机,所述的网卡是PCI接口的防火墙专用网卡。
3.根据权利要求2所述的实现网络设备MAC/IP绑定的接入控制系统,其特征在于所述的X86架构计算机是工业控制计算机。
4.根据权利要求1所述的实现网络设备MAC/IP绑定的接入控制方法,其特征在于所述的交换机也可以是集线器、二层以太网交换机、三层以太网交换机或其他支持802.3协议的以太网交换机。
5.一种实现网络设备MAC/IP绑定的接入控制方法,要将权利要求1所述系统中接入控制设备的网络端口用网线连接到被管子网的任何一个空闲的网络交换机的端口上,管理服务器和策略配置客户端可运行在网络中任何一台PC服务器或终端上,所述的方法包括以下步骤1)为接入控制设备的每个端口配置一个被管网段的IP地址,并将被管网段中的MAC/IP绑定策略通过策略配置客户端进行配置,然后使用管理服务器发布到各个接入控制设备;2)接入控制设备随时接收来自管理服务器的最新的用户主机接入控制策略,并更新本地的策略库;3)接入控制设备周期性地向网络中发送ARP请求报文,以扫描网络中的用户主机的活动情况;4)接入控制设备随时监听网络中的ARP请求及ARP应答报文,当用户主机接入网络或收到接入控制设备的ARP请求时,分别向网络广播ARP请求或向接入控制设备发送ARP应答,请求和应答报文中携带用户主机的IP地址和MAC地址,接入控制设备将这些用户主机的活动信息更新到本地活动用户主机列表;5)接入控制设备在收到网络中主机发送的ARP报文后,根据活动用户主机列表中用户主机的MAC地址和IP地址信息,在接入控制策略表中进行匹配,并根据不同的情况进行处理A.接入用户主机的MAC/IP地址已被授权接入,不作任何处理,允许该用户主机接入网络;B.接入用户主机的MAC/IP地址未被授权接入,则由接入控制设备向子网内以较短的周期不间断广播ARP应答报文,其中报文中的源MAC地址为未授权主机的伪MAC地址,源IP地址为未授权主机IP地址,目的MAC地址为广播MAC地址,目的IP地址为广播IP地址;C.接入用户主机由未授权主机状态改变为已授权主机状态,则由接入控制设备向子网内广播ARP应答报文,其中报文中以太网帧头部的源MAC地址为接入控制设备的MAC地址,ARP报文区中的源MAC地址为要恢复通信主机的MAC地址,源IP地址为要恢复通信的用户主机的IP地址,所有目的MAC地址为广播MAC地址,所有的目的IP地址为广播IP地址;D.接入用户主机为未授权主机,且与已接入网络的已授权主机发生了IP地址冲突,则由接入控制设备以较短的周期不间断地向已授权主机发送ARP应答报文,其中报文中以太网帧头部的源MAC地址为接入控制设备的MAC地址,ARP报文区中的源MAC地址为被保护的已授权主机的MAC地址,源IP地址为该被保护的已授权主机的IP地址,所有的目的MAC地址为该被保护的已授权主机MAC地址,所有的目的IP地址为该被保护的已授权主机的IP地址;6)接入控制设备周期性检测用户主机的活动情况,如果长时间没有收到某用户主机的ARP请求和应答,则认为该用户主机已断开网络连接,并将该用户主机信息从本地活动用户主机列表中清除,同时终止向网络广播对应该用户主机的伪ARP应答;7)接入控制设备定期向管理服务器发送当前终端的接入状态,管理服务器进行记录,并将终端接入情况反馈策略配置客户端。
全文摘要
本发明涉及一种实现网络设备MAC/IP绑定的接入控制系统及方法。该系统它包括有接入控制设备该系统中接入控制设备的网络端口用网线连接到被管子网的任何一个空闲的网络交换机的端口上,在网络中任何一台PC服务器或终端上安装有管理服务器和策略配置客户端软件。所述的方法主要是利用周期性广播伪ARP应答报文,通知网络中所有主机,造成未授权主机IP冲突,同时用伪MAC刷新网络中各主机的ARP缓存,阻止已授权主机与未授权主机之间的通信,实现MAC/IP址的绑定。本发明无需更换任何现有网络设备和对网络结构进行任何调整,大量节约资金且实施简便易行;维护工作量极小,可广泛应用于各类使用计算机及以太网的各型企事业单位。
文档编号H04L12/28GK1874223SQ20061001445
公开日2006年12月6日 申请日期2006年6月27日 优先权日2006年6月27日
发明者张学红, 闫五四, 阚建杰, 王真, 李永春, 周奕瑾 申请人:天津移动通信有限责任公司