[发明专利]基于SNMP协议的终端安全接入的控制方法

说明书

技术领域

   本发明涉及终端安全接入控制领域，尤其涉及一种基于SNMP协议的终端安全接入的控制方法。

背景技术

当前企业局域网环境安全问题突出，企业面临内部威胁、分支机构、访客和移动办公等带来的终端接入控制压力，以利益驱动的专业黑客往往锁定企业终端为目标，利用终端中的安全漏洞，获取对重要资源未经授权的访问，进而对核心业务系统发起攻击，造成数据被窃听或破坏，核心业务中断、恶意代码、信息泄密等安全事故，使企业业务和信誉受到损失。

SNMTP（简单网络管理协议）作为一种通用安全管理标准协议，能够实时监控各种网络设备的运行状态及数据交换信息，如交换机各端口接入IP、MAC及数据传输的动态信息。当非法主机接入时，可通过SNMP获取其MAC地址并进行身份认证，并通过关闭该主机连接的设备端口实现对非法连接的阻断，结合多台网络设备接入信息的集中管控，还可以实现移动主机的跨设备、跨区域认证与数据传输控制。

发明内容：

本发明所解决的技术问题是提供一种可解决企业局域网环境中终端非法接入的问题，同时在大中型环境中实现移动终端漫游控制功能，解决了企业非法终端接入的安全问题，同时实现了移动办公的需求，采用SNMP协议来实现，网络适应性强，降低了系统整体迁移的成本和难度，可充分利用现有的网络架构，不必进行昂贵的网络架构改造的基于SNMP协议的终端安全接入的控制方法。

为解决上述的技术问题，本实用新型采取的技术方案：

一种基于SNMP协议的终端安全接入的控制方法，其特殊之处在于：所述控制方法为首先设置交换机端口与MAC地址的关系，提供终端设备MAC地址接入网络的控制；当终端设备通过网线接入交换机时，终端交换机使用TRAP消息上报控制系统接入MAC的地址,控制系统判断该MAC地址允许从该端口接入时,交换机的该端口被配置为启用状态；当判断该MAC地址为非法接入时,阻断该端口；当非法接入连线被移除后,控制系统通过SNMP协议下发终端交换机该的端口状态为默认状态实现单一MAC地址在特定终端交换机或特定区域内多交换机的接入控制。

上述的基于SNMP协议的终端安全接入的控制方法的步骤如下：

步骤一：启用交换机的SNMP模块，交换机配置陷阱主机为终端接入控制系统, 终端接入控制系统配置交换机的SNMP主机信息，设置交换机对应的合法MAC地址； 

步骤二：终端设备连接到交换机端口，交换机使用TRAP消息将端口接入信息发送至终端接入控制系统；

步骤三：终端接入控制系统使用SNMP获取当前接入端口学习到动态MAC表，与该端口对应的合法MAC地址信息进行对照匹配，判断当前该端口接入MAC地址是否含有非法终端MAC；

步骤四：当MAC地址相同时回应终端接入正常状态，接口工作正常；当MAC地址不匹配时，发送SNMP-SET命令设置该端口为关闭状态，接入该端口的终端无法使用；

步骤五：当连接到交换机端口上的终端设备发生变化，重复执行步骤二到步骤五。

与现有技术相比，本发明不光解决了企业局域网环境中终端非法接入的问题，同时在大中型环境中实现移动终端漫游接入控制功能，解决了企业内部移动办公的需求，采用SNMP协议来实现，由于该协议属于通用网络管理标准，可充分利用现有网络架构以及基础设施，降低了系统整体迁移的成本和难度，为企业节约大量基础设施部署成本，相对于802.1x协议而言，也不用额外安装客户端软件，部署及操作较简单。

附图说明

图1为本发明实现终端设备与特定交换机具体端口绑定流程图；

图2为本发明实现终端设备与特定交换机绑定流程图；

图3为本发明实现终端设备与特定安全域交换机绑定流程图。

具体实施方式：

下面结合附图和具体实施方式对本发明进行详细说明。

参见图1-3，本发明的控制方法为首先设置交换机端口与MAC地址的关系，提供终端设备MAC地址接入网络的控制；当终端设备通过网线接入交换机时，终端交换机使用TRAP消息上报控制系统接入MAC的地址,控制系统判断该MAC地址允许从该端口接入时,交换机的该端口被配置为启用状态；当判断该MAC地址为非法接入时,阻断该端口；当非法接入连线被移除后,控制系统通过SNMP协议下发终端交换机该的端口状态为默认状态实现单一MAC地址在特定终端交换机或特定区域内多交换机的接入控制。

上述的控制方法的步骤如下：