一种基于802.1X认证自动批量绑定IP地址、MAC地址和交换机端口的方法与流程

本发明涉及互联网，尤其涉及一种基于802.1x认证自动批量绑定ip地址、mac地址和交换机端口的方法。

背景技术：

1、一般企业中网络为了网络终端的接入安全和数据安全，主流采用802.1x基于client/server的访问控制和认证协议，并且还在二层接入交换机上的采用交换机端口、网络终端ip地址、mac地址绑定的方法，实现安全管控。

2、现有的技术方案及其存在的问题为：二层接入交换机上的采用交换机端口、网络终端ip地址、mac地址绑定的方法是一种低成本高可用性的方法，缺点是因为终端用户数量多、网络终端更换频繁、网络接入位置变更等因素，造成网络信息更新不够及时和准确，网络故障发生时，不能准确找到网络终端进行排查。网络管理人员通常解除802.1x绑定和重新绑定一台网络终端至少需要5分钟，再进行资产登记，平均维护一台网络终端大约需要7分钟时间，如果再遇到批量更换网络终端、变动工位、人员岗位调整、或者分支机构内部搬迁，维护工作量就更大了，人工时间成本高。

技术实现思路

1、为了解决现有技术的问题，本发明提出一种基于802.1x认证自动批量绑定ip地址、mac地址和交换机端口的方法，帮助网络运维人员解决上述问题，自动关联网络终端序列号、摆放位置、使用人等信息，轻松对网络终端接进行全局管控，802.1x绑定mac地址全过程不需要人工参与，实现了网络运维自动化、智能化。

2、本发明是通过以下技术方案实现的：一种基于802.1x认证自动批量绑定ip地址、mac地址和交换机端口的方法，包括如下步骤：

3、步骤s1网络信息获取：定时自动获取三层交换机或路由器的arp地址表和二层交换机管理ip地址、端口、ip地址、mac地址、vlan信息、mac地址是否绑定状态信息、802.1x准入功能是否开启状态信息；

4、步骤s2网络信息存储：以网络终端的mac地址作为索引，将同一mac地址的相关信息按序组合形成信息记录；对比“网络终端信息总表”原有记录，如有变动信息就追加到“网络终端信息总表”中，标记mac地址绑定状态为macbd，标记mac地址未绑定状态为nomac，标记802.1x准入功能开启为dot1x，标记802.1x准入功能未开启为no1x；否则，完成全自动802.1x准入mac地址绑定操作；

5、步骤s3删除历史ip地址：对比二层交换机ip地址、端口相同的记录id，删除较小id记录，并且把较小id记录插入到数据库的“网络终端历史信息表”中，供查询历史ip地址使用；

6、步骤s4获取802.1x客户端信息：自动获取802.1x服务器上客户端的mac地址、ip地址、使用人、使用单位信息写入“802.1x服务器信息表”；

7、步骤s5信息筛选：以mac地址为索引，比对“网络终端信息总表”和802.1x服务器信息表，进行信息筛选；

8、步骤s6生成网络设备登录列表：根据“网络终端信息总表”中的mac地址未绑定标识或者802.1x未开启准入标识的网络终端信息记录，生成第二次登陆网络设备列表；如果网络设备列表不为空，则进行s7步骤；否则，完成全自动802.1x准入mac地址绑定操作；

9、步骤s7生成配置文件：以“网络终端信息总表”中的mac地址、对应端口、ip地址为过滤条件和二次登陆网络设备获取的动态信息组合成网络设备配置信息，通过网络设备模板语言生成配置文件；

10、步骤s8自动下发配置：自动下发相关网络设备配置，实现全自动802.1x准入mac地址绑定操作；

11、步骤s9再次获取网络信息：再次自动获取三层交换机或路由器的arp地址表和二层交换机管理ip地址、端口、ip地址、mac地址、vlan信息、mac地址是否绑定状态信息、802.1x准入功能是否开启状态信息；

12、步骤s10网络信息存储：以网络终端的mac地址作为索引，将同一mac地址的相关信息按序组合形成信息记录；对比“网络终端信息总表”原有记录，如有变动信息就追加到“网络终端信息总表”中，标记mac地址绑定状态为macbd，标记mac地址未绑定状态为nomac，标记802.1x准入功能开启为dot1x，标记802.1x准入功能未开启为no1x；否则，完成全自动802.1x准入mac地址绑定操作；

13、步骤s11删除历史ip地址：对比二层交换机ip地址、端口相同的记录id，删除较小id记录，并且把较小id记录插入到数据库的“网络终端历史信息表”中，供查询历史ip地址使用；

14、步骤s12数据更新：更新数据库相关信息表数据；最终完成全自动802.1x准入mac地址绑定网络操作。

15、本发明创造的有益效果是：

16、1、与人工登录网络设备去绑定交换机端口、网络终端ip地址、mac地址相比，本发明方法所需时间成本、人力成本几乎为零，全程不需要人工参与，当准备下发的网络配置与及时获取的网络信息不一致时，不进行写入交换机操作，不影响网络运行，网络信息准确率高，维护效率有了质的飞跃，大大提高的工作效率。

17、2、能够应用到目前主流的可网管交换机产品，对网络交换设备的档次和品牌没有太高要求。

技术特征：

1.一种基于802.1x认证自动批量绑定ip地址、mac地址和交换机端口的方法，其特征在于，包括如下步骤：

2.根据权利要求1所述的一种基于802.1x认证自动批量绑定ip地址、mac地址和交换机端口的方法，其特征在于：所述的步骤s1中，定时自动批量多线程登录是采用python定时模块和网络自动化登录模块多线程操作登录网络设备，使用telnet协议或者ssh协议；mac地址表为二层接入交换机的mac地址表，端口为网络终端连接二层接入交换机所在接口；ip地址为网络终端的ip地址；网络终端为连接在二层交换机上，允许访问网络资源的设备。

技术总结
一种基于802.1X认证自动批量绑定IP地址、MAC地址和交换机端口的方法，能够通过逐层比对配置并周期更新的方法，自动关联网络终端序列号、摆放位置、使用人信息，轻松对网络终端接进行全局管控，802.1X绑定MAC地址全过程不需要人工参与，实现了网络运维自动化、智能化。

技术研发人员：赵剑
受保护的技术使用者：交通银行股份有限公司辽宁省分行
技术研发日：
技术公布日：2024/1/15