[发明专利]基于交换机双重绑定的局域网终端准入控制方法

说明书

本发明公开了一种基于交换机双重绑定的局域网终端准入控制方法，自动扫描地址资源段中动态ARP地址信息和动态MAC地址信息，自动扫描地址资源段中所有对应的Vlan网络地址，将已经分配给终端设备的Vlan信息、终端设备的MAC地址和终端设备实际的IP地址在核心交换机上执行ARP绑定。并将接入层交换机的接入端口、终端设备的MAC地址进行端口绑定。本发明相比现有技术具有以下优点：本发明的一种基于交换机双重绑定的局域网终端准入控制方法通过第三方终端监测工具，建立地址资源台账库，利用ARP绑定和端口绑定双重绑定控制实现终端的准入控制，隔离异常终端设备，防止没有在系统中注册登记和绑定的设备接入。

技术领域

本发明涉及一种局域网终端准入控制方法，尤其涉及的是一种基于交换机双重绑定的局域网终端准入控制方法。

背景技术

随着电力信息网络规模的不断扩大，信息网络地址资源池规模及信息终端数量也不断增大。受限于有限的运行维护人员，终端的安全准入控制的高效、准确执行成为电力信息网络运维及信息安全工作中的重点。

网络准入控制技术通常包括：802.1x准入控制、DHCP准入控制、网关型准入控制、ARP型准入控制、portal型准入，其中以IEEE802.1x技术应用较多。IEEE802.1X是在利用LAN交换机和无线LAN接入点之前对用户进行认证的技术。普通LAN交换机将缆线连接到端口上即可使用LAN。不过，支持802.1X的LAN交换机连接缆线后也不能直接使用LAN。只有在对连接的个人电脑进行认证、确认是合法用户以后才能使用LAN。通过认证，LAN交换机就可以通过或者屏蔽用户发送过来的信息。无线LAN接入点也基本上采用这一工作原理。802.1x作为准入控制业界标准具有一定的灵活性和安全性，但由于对网络设备的标准性和规范性要求较高，无法较好的适应设备类型多、不完全支持802.1x的电力信息网络。

传统电力信息系统中，终端准入控制主要依赖运维人员人工维护终端及地址资源台账；并通过第三方审计工具发现异常终端，再开展处理措施。这种现有的控制方式中，地址资源及终端准入管理工作手段较为原始，存在有无法事先发现非法接入终端、不能对网络中存在安全风险的终端设备进行及时的隔离等操作问题，给电力信息网络安全带来安全隐患。

发明内容

本发明的目的在于克服现有技术的不足，基于网络地址、终端设备、交换机台账库,提供了一种基于交换机双重绑定的局域网终端准入控制方法，从全局角度对网络资源及安全准入行为进行集中管理，统一实施安全策略，提高网络终端的主动抵抗能力。

本发明是通过以下技术方案实现的：基于交换机双重绑定的局域网终端准入控制方法，包括如下步骤：

(1)、自动获取当前网络中的IP地址段信息、终端设备的MAC地址和Vlan信息；

(2)、自动获取当前网络中的核心交换机和接入层交换机；

(3)、动态扫描当前网络中的核心交换机和接入层交换机，并以Vlan信息为关键字段，确定Vlan信息对应的核心交换机集合和接入层交换机集合；

(4)自动扫描当前网络中，获取以Vlan信息为关键字段对应的所有的IP地址信息；

(5)判断当前网络中Vlan信息对应的IP地址信息是否与当前网络中已经在用的终端的设备的IP地址一一对应；

(6)若当前网络中Vlan信息对应的IP地址信息与当前网络中已经在用的终端设备的IP地址一一对应，将Vlan信息、当前网络中已经在用的终端设备的IP地址与实际的MAC地址在核心交换机上执行ARP绑定；

(7)若当前网络中Vlan信息对应的IP地址信息与当前网络中已经在用的终端设备的IP地址不一一对应，将Vlan信息、IP地址段与虚拟的MAC地址在核心交换机上执行ARP绑定；