[发明专利]一种基于VLAN切换的终端准入控制方法

说明书

本发明提出一种基于VLAN切换的终端准入控制方法，包括一：将服务器连接到管控网络，需要两个网口连接：业务管理口；交换机的trunk口；二：在服务器添加交换机的连接信息；三：服务器通过配置的连接信息连接交换机，并对交换机进行配置；四：交换机发现mac地址上线后，服务器立即将mac地址所在的端口切换至隔离VLAN，阻断正常访问；五：服务器接收到数据包；对于arp请求、dns请求转发至正常VLAN；对于http的网络请求，将访问地址重定向到服务器，引导进行网络认证；六：隔离区终端用户从服务器下载软件安装并进行系统修复通过安全检查后，服务器将交换机端口切换至合法VLAN，后续可以正常访问网络。

技术领域

本发明涉及一种基于VLAN切换的终端准入控制方法，属于网络安全技术领域。

背景技术

在信息化建设全面展开的今天，越来越多的企事业单位和政务部门将信息技术应用于现代化办公和业务处理，经过多年的网络建设，已逐步形成了一个完整的网络，对于安全准入系统的灵活性、复杂度的要求随之变高。网络越来越复杂，终端接入方式也越来越多，网络中存在着各种各样的新老网络设备，存在各种复杂的网络结构，像各类终端、多种品牌的交换机等。因此，如何做到灵活控制、安全接入，在多种接入方式并存的环境下，如何很好的满足及适应客户网络的复杂性是准入研究必须解决的难题。

VLAN安全网关技术是在基于IP的网络上建立多种虚拟网关动态切换机制的方法。VLAN安全网关技术的工作原理，克服了相同子网VLAN不能通信的难题，使得相同子网段设备虽然处于不同VLAN中，同样可以实现不在三层路由基础上仍能相互通讯的功能。与此同时，在多虚拟网关技术切换VLAN的过程中系统可以引导进入认证页面解决了非桌管客户端无法进行WEB认证的弊端。从安装的角度来看，减少了网络管理员巨大的工作量。

网络二层准入现有的方案还有基于802.1x技术的准入，这是交换机提供的一种接入设备认证入网的方式，通过客户端发送EAP协议的认证数据包，交换机将认证信息发送给AAA服务器进行认证，认证通过后的设备可以入网。但基于802.1x的准入方式需要交换机对802.1x支持，因而对低端老旧的设备难以实际应用，而且需要对所有交换机进行手动配置且各厂商的配置方式差异巨大，运维工作量巨大。802.1x准入依赖终端设备安装客户端，也限制了其应用范围。

基于VLAN的准入方式解决了802.1x的上述问题，但也存在一些实现难题：

1.由于基于终端mac地址进行管理，造成了管理方面的困难。

2.需要对交换机进行配置，需要有一定的运维能力。

3.终端接入网络后，系统对其进行隔离的反应时间较长。

发明内容

为解决上述问题，本发明提出一种基于VLAN切换的终端准入控制方法，具体技术方案如下，

一种基于VLAN切换的终端准入控制方法，包括如下步骤：

步骤一：将服务器连接到管控网络，需要两个网口连接：一个业务管理口，提供可以正常访问的ip地址；一个连接到交换机的trunk口；

步骤二：在服务器添加交换机的连接信息；

步骤三：服务器通过配置的连接信息连接交换机，并对交换机进行配置；

步骤四：交换机发现mac地址上线后，服务器立即将mac地址所在的端口切换至隔离VLAN，阻断其对网络的正常访问；

步骤五：隔离区的终端用户进行网络访问时，由于处于隔离VLAN，与正常网络相互不通，数据包会通过trunk口一路传输到服务器连接的trunk口上，服务器可以接收到该数据包；对于arp请求、dns请求转发至正常VLAN；对于http的网络请求，将访问地址重定向到服务器，引导隔离区终端用户进行网络认证；