本发明专利技术提出了一种针对集线器的内网边界管控方法,包括:对内网边界设备进行认证;当内网边界设备未通过认证时,将未通过认证的内网边界设备的MAC地址与虚拟IPX地址进行绑定,得到MAC‑IPX地址;将未通过认证的内网边界设备的IP地址与虚拟MACx地址进行绑定,得到MACx‑IP地址;分别将MAC‑IPX地址和MACx‑IP地址与交换机进行绑定;根据MAC‑IPX地址和MACx‑IP地址阻止未通过认证的内网边界设备接入内网。本发明专利技术能够在不影响集线器端口上连接的合规设备的同时阻断不合规设备的接入。
【技术实现步骤摘要】
一种针对集线器的内网边界管控方法
本专利技术涉及网络安全
,具体涉及一种针对集线器的内网边界管控方法。
技术介绍
内网存在数量庞大的未知类型的接入层设备,然而,绝大部分的网管系统只管理核心交换机、路由器及汇聚交换等关键的网络设备,内网终端接入的安全管理不能达到100%覆盖,传播病毒、信息窃取、网络攻击等严重威胁着内网的安全运行,对网络边界进行有效控制势在必行。现有的内网终端接入的安全控制方法,通过获取终端设备的MAC地址,并与认证设备数据库中的终端进行对比,将未通过认证的设备的端口关闭。然而,内网中还存在不可网管的集线器,通常集线器会连接在可网管交换机上,由于集线器没有MAC地址,当集线器端口上连接有不合规设备时,如果直接将集线器上游交换机对应的端口关闭,会影响集线器端口上连接的合规设备的正常接入。
技术实现思路
鉴于上述的分析,本专利技术提出了一种针对集线器的内网边界管控方法,用以解决现有技术无法在不影响集线器端口上连接的合规设备的同时阻断不合规设备的问题。为实现上述目的,本专利技术采用如下技术方案:本专利技术第一方面,提供了一种针对集线器的内网边界管控方法,包括:对内网边界设备进行认证;当所述内网边界设备未通过认证时,将未通过认证的内网边界设备的MAC地址与虚拟IPX地址进行绑定,得到MAC-IPX地址;将所述未通过认证的内网边界设备的IP地址与虚拟MACx地址进行绑定,得到MACx-IP地址;分别将所述MAC-IPX地址和MACx-IP地址与交换机进行绑定;根据所述MAC-IPX地址和MACx-IP地址阻止所述未通过认证的内网边界设备接入内网。作为一种优选的实施方式,当所述内网边界设备未通过认证时,判断未通过认证的内网边界设备是否与集线器连接;当所述未通过认证的内网边界设备与所述集线器连接时,执行将所述MAC地址与预设的虚拟IPX地址进行绑定以及将所述IP地址与预设的虚拟MACx地址进行绑定的步骤。作为一种优选的实施方式,在对内网边界设备进行认证之前,还包括:通过在交换机上定期轮询的方式获取内网边界设备的MAC-IP-Switch-Port对应表。作为一种优选的实施方式,对内网边界设备进行认证,包括:当第一次获取内网边界设备的MAC-IP-Switch-Port对应表时,将所述MAC-IP-Switch-Port对应表存入在线设备缓存中,并将内网边界设备的MAC-IP-Switch-Port对应表与认证设备数据库中的MAC数据进行对比;当所述内网边界设备的MAC地址不在认证设备数据库,则判定所述内网边界设备未通过认证。作为一种优选的实施方式,对内网边界设备进行认证,还包括:当不是第一次获取内网边界设备的MAC-IP-Switch-Port对应表时,将所述MAC-IP-Switch-Port对应表与在线设备缓存中存储的缓存数据进行对比,生成新接入设备信息表,并对新接入设备信息表中的新接入设备进行认证;对于通过认证的新接入设备,将所述通过认证的新接入设备存入在线设备缓存中。作为一种优选的实施方式,当所述内网边界设备未通过认证,判断未通过认证的内网边界设备是否与集线器连接,包括:根据交换机上集线器的分布,获取集线器的Switch-Port对应表;当所述内网边界设备未通过认证,判断未通过认证的内网边界设备的Switch-Port是否存在于所述集线器的Switch-Port对应表中;当未通过认证的内网边界设备的Switch-Port存在于所述集线器的Switch-Port对应表中时,则判定未通过认证的内网边界设备与集线器连接。作为一种优选的实施方式,本专利技术提供的针对集线器的内网边界管控方法还包括:当收到与所述虚拟MACx地址和虚拟IPX地址绑定的已绑定内网边界设备的接入请求时,将所述已绑定内网边界设备的MAC地址与所述虚拟IPX地址的绑定解除,将所述已绑定内网边界设备的IP地址与所述虚拟MACx地址的绑定解除,并将所述已绑定内网边界设备加入认证设备数据库中。本专利技术第二方面,提供了一种针对集线器的内网边界管控装置,包括:设备认证模块,用于对内网边界设备进行认证;设备阻止模块,用于当所述内网边界设备未通过认证时,将未通过认证的内网边界设备的MAC地址与虚拟IPX地址进行绑定,得到MAC-IPX地址;将所述未通过认证的内网边界设备的IP地址与虚拟MACx地址进行绑定,得到MACx-IP地址;分别将所述MAC-IPX地址和MACx-IP地址与交换机进行绑定;根据所述MAC-IPX地址和MACx-IP地址阻止所述未通过认证的内网边界设备接入内网。作为一种优选的实施方式,所述设备阻止模块,当所述内网边界设备未通过认证时,判断未通过认证的内网边界设备是否与集线器连接;当所述未通过认证的内网边界设备与所述集线器连接时,执行将所述MAC地址与预设的虚拟IPX地址进行绑定以及将所述IP地址与预设的虚拟MACx地址进行绑定的步骤。作为一种优选的实施方式,本专利技术提供的针对集线器的内网边界管控装置还包括设备信息获取模块,用于在对内网边界设备进行认证之前,通过在交换机上定期轮询的方式获取内网边界设备的MAC-IP-Switch-Port对应表。作为一种优选的实施方式,所述设备认证模块对内网边界设备进行认证,包括:当第一次获取内网边界设备的MAC-IP-Switch-Port对应表时,将所述MAC-IP-Switch-Port对应表存入在线设备缓存中,并将内网边界设备的MAC-IP-Switch-Port对应表与认证设备数据库中的MAC数据进行对比;当所述内网边界设备的MAC地址不在认证设备数据库,则判定所述内网边界设备未通过认证。作为一种优选的实施方式,所述设备认证模块对内网边界设备进行认证,还包括:当不是第一次获取内网边界设备的MAC-IP-Switch-Port对应表时,将所述MAC-IP-Switch-Port对应表与在线设备缓存中存储的缓存数据进行对比,生成新接入设备信息表,并对新接入设备信息表中的新接入设备进行认证;对于通过认证的新接入设备,将所述通过认证的新接入设备存入在线设备缓存中。作为一种优选的实施方式,所述设备阻止模块,当所述内网边界设备未通过认证,判断未通过认证的内网边界设备是否与集线器连接,包括:根据交换机上集线器的分布,获取集线器的Switch-Port对应表;当所述内网边界设备未通过认证,判断未通过认证的内网边界设备的Switch-Port是否存在于所述集线器的Switch-Port对应表中;当未通过认证的内网边界设备的Switch-Port存在于所述集线器的Switch-Port对应表中时,则判定未通过认证的内网边界设备与集线器连接。作为一种优选的实施方式,本专利技术提供的针对集线器的内网边界管控装置,当收到与所述虚拟MACx地址和虚拟IPX地址绑定的已绑定内网边界设备的接入请求时,所述设备阻止模块将所述已绑定内网边界设备的MAC地址与所述虚拟IPX地址的绑定解除,将所述已绑定内网边界设备的IP地址与所述虚拟MACx地址的绑定解除,并将所述已绑定内网边界设备加入认证设备数据库中。本专利技术第三方面,提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使计算机执行上述内本文档来自技高网...
【技术保护点】
1.一种针对集线器的内网边界管控方法,其特征在于,包括:对内网边界设备进行认证;当所述内网边界设备未通过认证时,将未通过认证的内网边界设备的MAC地址与虚拟IPX地址进行绑定,得到MAC‑IPX地址;将所述未通过认证的内网边界设备的IP地址与虚拟MACx地址进行绑定,得到MACx‑IP地址;分别将所述MAC‑IPX地址和MACx‑IP地址与交换机进行绑定;根据所述MAC‑IPX地址和MACx‑IP地址阻止所述未通过认证的内网边界设备接入内网。
【技术特征摘要】
1.一种针对集线器的内网边界管控方法,其特征在于,包括:对内网边界设备进行认证;当所述内网边界设备未通过认证时,将未通过认证的内网边界设备的MAC地址与虚拟IPX地址进行绑定,得到MAC-IPX地址;将所述未通过认证的内网边界设备的IP地址与虚拟MACx地址进行绑定,得到MACx-IP地址;分别将所述MAC-IPX地址和MACx-IP地址与交换机进行绑定;根据所述MAC-IPX地址和MACx-IP地址阻止所述未通过认证的内网边界设备接入内网。2.根据权利要求1所述的内网边界管控方法,其特征在于,当所述内网边界设备未通过认证时,判断未通过认证的内网边界设备是否与集线器连接;当所述未通过认证的内网边界设备与所述集线器连接时,执行将所述MAC地址与预设的虚拟IPX地址进行绑定以及将所述IP地址与预设的虚拟MACx地址进行绑定的步骤。3.根据权利要求1或2所述的内网边界管控方法,其特征在于,在对内网边界设备进行认证之前,还包括:通过在交换机上定期轮询的方式获取内网边界设备的MAC-IP-Switch-Port对应表。4.根据权利要求3所述的内网边界管控方法,其特征在于,对内网边界设备进行认证,包括:当第一次获取内网边界设备的MAC-IP-Switch-Port对应表时,将所述MAC-IP-Switch-Port对应表存入在线设备缓存中,并将内网边界设备的MAC-IP-Switch-Port对应表与认证设备数据库中的MAC数据进行对比;当所述内网边界设备的MAC地址不在认证设备数据库,则判定所述内网边界设备未通过认证。5.根据权利要求4所述的内网边界管控方法,其特征在于,对内网边界设备进行认证,还包括:当不是第一次获取内网边界设备的MAC-IP-Switch-Port对应表时,...
【专利技术属性】
技术研发人员:常雄,薛锋,叶超,
申请(专利权)人:北京城强科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。