本发明专利技术公开了一种终端准入自动控制装置及方法,包括:信息采集模块,用于采集终端地址信息和接入设备信息;所述终端地址信息包括终端设备的MAC地址信息和IP地址信息;终端地址分析模块,用于根据MAC地址信息或IP地址信息与地址信息库比对后确定终端设备类型;准入方式分析模块,用于根据所述终端地址分析模块确定的终端设备类型确定接入方式;配置发布模块,用于根据准入方式分析模块确定的接入方式,向接入设备下发配置命令。本发明专利技术通过依据MAC地址信息或IP地址信息并与地址信息库比对后确定终端设备类型,能够适用多种终端设备,保留原准入技术优势的同时,实现终端准入自动安全控制,简化配置和运维工作。简化配置和运维工作。简化配置和运维工作。
【技术实现步骤摘要】
一种终端准入自动控制装置及方法
[0001]本专利技术涉及通信
,更具体地,涉及一种终端准入自动控制装置及方法。
技术介绍
[0002]现有技术中,因为接入方式和终端设备的多样性,难以准确界定网络边界。阻止外部风险进入内部是网络管理必须关注的问题之一,在此背景下产生了终端准入控制系统,准入控制是实名制网络准入控制(Network Access Control,网络准入控制)的简称,准入控制是指对网络的边界进行保护,对接入网络的终端和终端的使用人进行合法性检查。
[0003]NAC包括三种认证方式:802.1X认证、MAC认证和Portal认证,对内部局域网通过部署802.1X认证,能够防止非法有线终端接入,802.1X的优点是认证安全性高,适用于用户集中且对安全性要求较高场景,缺点:部署不灵活,需要安装客户端软件,一般需要部署实体的radius服务器;对于哑终端设备可以使用MAC认证方式进行认证,防止非法有线终端接入,优点是无需要安装任何客户端软件,认证过程中,也不需要用户手动输入用户名或者密码,适用于哑终端如打印机,传真机等接入认证的场景,缺点是需要登记MAC地址,不易于大规模部署;对于外来访客可以使用Portal认证方式,防止非法有线终端接入,Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,只有认证通过后才可以使用网络资源,优点是部署灵活,无需安装客户端软件,适合大规模部署,一般适用于用户分散、用户流动性大的场景,缺点是安全性不高。但这三种认证方式认证原理不同,各自适合的场景也有所差异。当接入设备接口同时存在PC和打印机/传真机等哑终端时,如果仅配置802.1X认证,会导致打印机/传真机无法通过认证。
[0004]鉴于以上问题,本专利技术提供了一种终端准入自动控制装置及方法,通过确定终端类型能够自动选择准入方式。
技术实现思路
[0005]本专利技术的目的是提出一种终端准入自动控制装置及方法,实现终端准入自动安全控制。
[0006]为实现上述目的,一方面,本专利技术提出了一种终端准入自动控制装置,包括:
[0007]信息采集模块,用于采集终端地址信息和接入设备信息;
[0008]所述终端地址信息包括终端的MAC地址信息和IP地址信息;
[0009]终端地址分析模块,用于根据所述MAC地址信息或所述IP地址信息与地址信息库比对后确定终端设备类型;
[0010]准入方式分析模块,用于根据所述终端地址分析模块确定的所述终端设备类型确定接入方式;
[0011]配置发布模块,用于根据所述准入方式分析模块确定的接入方式,向接入设备下发配置命令。
[0012]优选地,该装置还包括:状态监控模块,所述状态监控模块用于监控所述终端设备
的状态;
[0013]告警分析模块,用于反馈所述终端设备的运行情况。
[0014]优选地,该装置还包括:显示模块,所述显示模块分别连接于所述状态监控模块、所述告警分析模块和所述配置发布模块,用于显示和反馈所述状态监控模块、所述告警分析模块和所述配置发布模块的信息。
[0015]优选地,所述接入设备信息包括接入设备的端口信息和告警信息。
[0016]优选地,所述接入方式包括MAC、802.1X和Portal认证方式。
[0017]优选地,所述告警分析模块配置有防ARP装置。
[0018]另一方面,本专利技术还提供了一种终端准入自动控制方法,包括:
[0019]采集终端地址信息和接入设备信息,所述终端地址信息包括终端的MAC地址信息和IP地址信息;
[0020]根据所述MAC地址信息或所述IP地址信息与地址信息库比对后确定终端设备类型;
[0021]根据所述终端设备类型确定接入方式;
[0022]根据确定的所述接入方式,向接入设备下发配置命令。
[0023]优选地,该方法还包括:用于监控所述终端设备状态的状态监控模块和用于反馈所述终端设备运行情况的告警分析模块。
[0024]优选地,该方法还包括:分别连接于所述状态监控模块、所述告警分析模块和所述配置发布模块的显示模块,所述显示模块用于显示和反馈所述状态监控模块、所述告警分析模块和所述配置发布模块的信息。
[0025]优选地,所述接入方式包括MAC、802.1X和Portal认证方式。
[0026]本专利技术的有益效果在于:
[0027]本专利技术通过依据MAC地址信息或IP地址信息并与地址信息库比对后确定终端设备类型,能够适用多种终端设备,保留原准入技术优势的同时,实现终端准入自动安全控制,简化配置和运维工作。
[0028]进一步地,本专利技术设置有告警分析模块,管理员能够实时了解终端设备上ARP运行情况,对潜在的攻击行为作出判断和应对措施。
[0029]本专利技术的装置具有其它的特性和优点,这些特性和优点从并入本文中的附图和随后的具体实施方式中将是显而易见的,或者将在并入本文中的附图和随后的具体实施方式中进行详细陈述,这些附图和具体实施方式共同用于解释本专利技术的特定原理。
附图说明
[0030]通过结合附图对本专利技术示例性实施例进行更详细的描述,本专利技术的上述以及其它目的、特征和优势将变得更加明显,在本专利技术示例性实施例中,相同的参考标号通常代表相同部件。
[0031]图1示出了实施例1的一种终端准入自动控制装置的结构框图。
[0032]图2示出了实施例1的配置分布模块的配置流量示意图。
[0033]图3示出了实施例2的一种终端准入自动控制方法的流程图。
[0034]附图标记:
[0035]1、地址信息库;2、信息采集模块;3终端地址分析模块;4、准入方式分析模块;5、配置发布模块;6、状态监控模块;7、告警分析模块;8、显示模块。
具体实施方式
[0036]下面将参照附图更详细地描述本专利技术。虽然附图中显示了本专利技术的优选实施例,然而应该理解,可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了使本专利技术更加透彻和完整,并且能够将本专利技术的范围完整地传达给本领域的技术人员。
[0037]实施例1:
[0038]参考图1,本实施例公开一种终端准入自动控制装置,包括:
[0039]信息采集模块2,用于采集终端地址信息和接入设备信息;
[0040]所述终端地址信息包括终端的MAC地址信息和IP地址信息;
[0041]终端地址分析模块3,用于根据MAC地址信息或IP地址信息与地址信息库1比对后确定终端设备类型;
[0042]准入方式分析模块4,用于根据所述终端地址分析模块3确定的终端设备类型确定接入方式;
[0043]配置发布模块5,用于根据准入方式分析模块4确定的接入方式,向接入设备下发配置命令。
[0044]本实施例中,信息采集模块2用于实时采集终端的MAC地址信息、IP地本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种终端准入自动控制装置,其特征在于,包括:信息采集模块,用于采集终端地址信息和接入设备信息;所述终端地址信息包括终端的MAC地址信息和IP地址信息;终端地址分析模块,用于根据所述MAC地址信息或所述IP地址信息与地址信息库比对后确定终端设备类型;准入方式分析模块,用于根据所述终端地址分析模块确定的所述终端设备类型确定接入方式;配置发布模块,用于根据所述准入方式分析模块确定的接入方式,向接入设备下发配置命令。2.根据权利要求1所述的装置,其特征在于,该装置还包括:状态监控模块,所述状态监控模块用于监控所述终端设备的状态;告警分析模块,用于反馈所述终端设备的运行情况。3.根据权利要求2所述的装置,其特征在于,该装置还包括:显示模块,所述显示模块分别连接于所述状态监控模块、所述告警分析模块和所述配置发布模块,所述显示模块用于显示和反馈所述状态监控模块、所述告警分析模块和所述配置发布模块的信息。4.根据权利要求1所述的装置,其特征在于,所述接入设备信息包括接入设备的端口信息和告警信息。5.根据权利要求1所述的装...
【专利技术属性】
技术研发人员:魏鹏飞,范红霞,孙东纬,郭志华,吴鹏,
申请(专利权)人:华迪计算机集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。