[发明专利]终端准入控制方法、控制器、管控设备及系统

说明书

本发明实施例提供一种终端准入控制方法、控制器、管控设备、接入设备及系统。所述方法包括：物联终端接入网络后通过上送ARP报文至SDN控制器管控，SDN控制器根据物联终端标识进行审批，并向管控设备下发根据合法终端生成的终端接入控制表，管控设备仅根据终端接入控制表进行物联终端的入网控制，从而阻断未审批终端联网，解决了新增物联终端接入上线周期长、配置操作复杂等导致网络故障的问题，通过简化物联终端入网审批过程，提高了物联终端入网效率和对物联终端的安全防护，降低了网络维护成本。

技术领域

本发明实施例涉及通信技术领域，具体涉及一种终端准入控制方法、控制器、管控设备、接入设备及系统。

背景技术

随着高清视频、云服务、社交应用、Web 2.0等应用普及，网络接入带宽规模在几年内形成几何级数的增长，同时移动终端高速普及，无线网络接入的需求也在校园网内逐步形成规模：一个学生配备多个上网设备已成为主流，并且智慧校园软件的不断发展及丰富，校园网承载业务日趋增多。在这种场景下，存在以下问题：如果网络中的物联终端设备直接连入教学娱乐网，将存在安全隐患，且不易管理。当网络出现攻击行为或者用户故障时，管理人员无法快速并准确的定位用户位置或者用户身份，无法快速的解决网络问题，影响到整个网络的使用体验。

基于安全考虑，通常会进行物联终端的准入控制，合法的终端才允许接入网络。而通常的准入控制方案一般使用准入认证，但准入认证会引入诸如不稳定及使用维护麻烦等问题，因此实际终端设备基本不会部署，而使用对接入设备进行IP+MAC(Media AccessControl，媒体访问控制)绑定替代准入认证。IP+MAC绑定通过DHCP(Dynamic HostConfiguration Protocol，动态主机配置协议)做动态绑定时，DHCP无法识别合法终端MAC地址，并且存在接入设备品牌绑定的问题。

目前通常采用静态IP+MAC进行绑定，以静态IP非认证物联终端上线场景为例，通常需要以下步骤：首先业务部门向网络中心申请一个静态IP地址；网络部门为物联终端分配一个IP地址，通过人工录入Excel，记录物联终端和对应的IP地址；协调运维人员，到现场找到物联终端接入的交换机和接入端口，如果已收集了终端MAC地址，则通过登录交换机查看MAC地址，若找不到终端MAC地址，则需要通过网线的标记来查找对应的网口；之后网络中心为物联终端单独划分一个VLAN(Virtual Local Area Network，虚拟局域网)，然后关闭终端接入端口的动态IP地址检查，关闭端口的认证或者将其配置成MAC无感知准入；最后根据物联终端的特性为其分配访问策略，从而完成物联终端的入网过程。

然而，采用静态IP+MAC进行绑定时，新增终端接入上线周期较长，且配置操作复杂，通过网线的标记来查找对应的网口，由于网线密集，查找耗时较长，同时由于关闭了端口安全检查，存在网络安全隐患。当终端用户迁移时，需要重新进行IP地址分配，访问策略也需要重新配置，并且，由于依赖运维人员人工录入合法物联终端及其IP地址，容易存在错误配置、漏配置的情况，导致网络故障。

发明内容

针对现有技术中的缺陷，本发明实施例提供了一种终端准入控制方法、控制器、管控设备、接入设备及系统。

第一方面，本发明实施例提供一种终端准入控制方法，包括：

接收管控设备转发的来自物联终端的ARP请求报文，所述ARP请求报文携带物联终端的终端标识；

根据所述终端标识匹配预设合法终端列表，判断所述物联终端是否为合法终端；

若所述物联终端为合法终端，则根据所述物联终端的终端标识，生成终端接入控制表；

若所述物联终端为非合法终端，则将所述物联终端的终端标识发送至待审批列表，并在所述物联终端审批通过后，根据所述物联终端的终端标识，生成终端接入控制表；