[发明专利]一种基于交换机端口管理的终端准入控制方法

说明书

技术领域

本发明涉及终端准入控制技术领域，尤其是涉及一种基于交换机端口管理的终端准入控制方法。

背景技术

现有技术中，因为接入方式的多样性(有线、无线、虚拟专用网和拨号等)、终端设备的多样性(台式机、笔记本、PAD、智能手机等)，导致难以准确界定网络边界，网络管理主要面临以下问题：①外来终端随意接入网络，②接入终端的自身安全性无法确认或保证，③合法终端没有遵从IT内控制度。阻止外部风险进入内部是网络管理必须关注的问题之一，在此背景下产生了终端准入控制系统：准入控制是实名制网络准入控制的简称。准入控制是指对网络的边界进行保护，对接入网络的终端和终端的使用人进行合法性检查。

目前常见的准入控制系统有如下几种：

㈠802.1x准入控制强调对交换机端口的控制：这种控制与网络兼容性较差；在用户使用终端接入前，会将终端隔离在隔离VLAN中；只有在进行完身份认证后，才将终端改放在应属的VLAN中。802.1x准入技术要求交换机必须支持802.1x；当端口下挂Hub或普通交换机的情况下，则无法实现对非法终端的VLAN隔离。

㈡基于DHCP服务器加上终端的准入控制模式，这种控制模式不改变网络拓扑，影响小，不会降低网络的性能和可靠性。但是需要在每个网段部署DHCP服务器，增加硬件和维护成本终端可以轻松绕过DHCP，自行设置IP接入网络，并且无法统计终端信息。仅适合中小型网络。

㈢基于网关产品加上终端的准入控制模式：这种控制模式功能非常全面，基本上可以满足用户的绝大多数需要；但是网关型设备比较昂贵，并需要更改拓扑结构，只能采用802.1x准入控制，但是802.1x又解决不了HUB接入、终端统计等方面的问题；准入控制严重依赖桌面安全，未安装Agent的终端(或非法卸载Agent的终端)依然可以接入局域网，无法实现局域网的安全准入控制。

㈣基于ARP强制和桌面管理的准入控制模式：这种控制模式的优点是成本低廉，部署速度快；但是存在的技术问题是：ARP强制，实际就是ARP欺骗，后果严重不可想象；只要懂技术的用户，都可以绕开ARP干扰和强制；因此无法做到隔离不安全的电脑。访客的管理如何做，是一个大问题；ARP干扰器有效范围小，在大型网络里，其本身的管理就是一个问题，特别是有广域网的情况下，更是困难。

现有技术或解决方案存在的缺点：

基于802.1x准入控制强调对交换机端口的控制方案的缺点是：①.兼容性差，所有接入层交换机必须支持802.1x协议；②.部署技术复杂度要求高；③.无法判断网络中存在多少终端；④.无法管理HUB与虚拟机的接入。

基于DHCP服务器加上终端的准入控制模式的缺点是：①.需要在每个网段部署DHCP服务器，增加硬件和维护成本终端可以轻松绕过DHCP，自行设置IP接入网络并且无法统计终端信息；②.仅适合中小型网络。

基于网关产品加上终端的准入控制模式的缺点是：①.网关型设备比较昂贵，并需要更改拓扑结构，只能采用802.1x准入控制，但是802.1x又解决不了HUB接入、终端统计等方面的问题；②.准入控制严重依赖桌面安全，未安装Agent的终端(或非法卸载Agent的终端)依然可以接入局域网，无法实现局域网的安全准入控制。

基于ARP强制和桌面管理的准入控制模式的缺点是：①.ARP强制，实际就是ARP欺骗，后果严重不可想象；用户很容易可以绕开ARP干扰和强制；②.无法做到隔离不安全的电脑；③.访客的管理是一个严重的问题；④.ARP干扰器有效范围小，在大型网络里，其本身的管理是一个问题，特别是有广域网情况下，更是困难。

目前还没有有效的基于交换机端口管理的终端准入控制方法来解决上述问题。

发明内容

本发明所解决的技术问题是提供一种基于交换机端口管理的终端准入控制方法，本发明主要用于防范外部终端计算机和不合法计算机非法接入网络，对终端采取基于MAC地址的管理，禁止终端用户私自更改MAC地址；并对虚拟机进行管理；阻止HUB的接入，保证了网络边界的完整性；本发明的终端准入控制准确、严格，同时不会影响网络中其他终端及服务；可以用于对终端要求较高的企业和国家机关事业单位。

为了解决上述技术问题，本发明提供了一种基于交换机端口管理的终端准入控制方法，包括：

步骤一：新的终端接入网络后，通过交换机采集新接入的所述终端的身份信息；

步骤二：所述交换机提取所述终端的所述身份信息中的唯一标识；所述交换机将所述终端与所述交换机的端口关联起来；