[发明专利]终端准入控制方法、控制器、管控设备及系统

权利要求书

1.一种终端准入控制方法，其特征在于，包括：

接收管控设备转发的来自物联终端的ARP请求报文，所述ARP请求报文携带物联终端的终端标识；

根据所述终端标识匹配预设合法终端列表，判断所述物联终端是否为合法终端；

若所述物联终端为合法终端，则根据所述物联终端的终端标识，生成终端接入控制表；

若所述物联终端为非合法终端，则将所述物联终端的终端标识发送至待审批列表，并在所述物联终端审批通过后，根据所述物联终端的终端标识，生成终端接入控制表；

将所述终端接入控制表发送至所述管控设备，以供所述管控设备根据所述终端接入控制表控制物联终端入网；

其中，所有的物联终端接入默认拒绝访问网络。

2.根据权利要求1所述的方法，其特征在于，还包括：

设置业务网中每个业务子网的管控状态，其中，所述管控状态包括：管控开启状态和管控关闭状态；

若判断获知业务子网的管控状态为管控开启状态，则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置；

相应地，所述接收管控设备转发的来自物联终端的ARP请求报文，包括：

接收管控设备根据所述OpenFlow上报流表转发的来自物联终端的ARP请求报文。

3.根据权利要求2所述的方法，其特征在于，所述管控开启状态包括：免管控开启时段；

相应地，所述方法还包括：

若判断获知所述物联终端对应的业务子网处于免管控开启时段，则向所述业务子网对应的管控设备发送删除所述阻断入网配置的第一删除指令；

相应地，所述接收管控设备转发的来自物联终端的ARP请求报文之后，还包括：

若判断获知所述物联终端对应的业务子网处于免管控开启时段，则根据所述物联终端的终端标识，生成终端接入控制表；

相应地，所述根据所述终端标识匹配预设合法终端列表，判断所述物联终端是否为合法终端，包括：

若判断获知所述物联终端对应的业务子网不处于免管控开启时段，则根据所述终端标识匹配预设合法终端列表，判断所述物联终端是否为合法终端。

4.根据权利要求3所述的方法，其特征在于，还包括：

设置每个业务子网的终端自发现状态，所述终端自发现状态包括终端自发现开启状态和终端自发现关闭状态；

相应地，所述若判断获知业务子网的管控状态为管控开启状态，则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置，包括：

若判断获知所述业务子网的管控状态为管控开启状态并且所述业务子网的终端自发现状态为终端自发现开启状态，则向所述业务子网对应的管控设备发送OpenFlow上报流表和阻断入网配置；

否则，向所述业务子网对应的管控设备发送删除所述OpenFlow上报流表的第二删除指令。

5.根据权利要求4所述的方法，其特征在于，所述管控设备包括：业务网对应的网关设备；

相应地，所述向所述业务子网对应的管控设备发送阻断入网配置，包括：

向所述业务子网对应的网关设备发送关闭ARP学习配置，所述关闭ARP学习配置用于指示所述网关设备关闭与所述业务子网对应的SVI端口的ARP学习功能，并删除与所述业务子网对应的根据ARP请求报文学习的动态ARP表；

相应地，所述将所述终端接入控制表发送至所述管控设备，以供所述管控设备根据所述终端接入控制表控制物联终端入网，包括：

将所述终端接入控制表发送至所述网关设备，以供所述网关设备根据所述终端接入控制表应答所述物联终端发送的ARP请求。

6.根据权利要求5所述的方法，其特征在于，还包括：

删除所述业务网对应的网关设备；

若判断获知所述业务网中至少一个业务子网的管控状态为管控开启状态，则生成删除网关设备失败的告警信息。