基于SNMP協議的終端安全接入的控制方法技術

本發明專利技術涉及一種基于SNMP協議的終端安全接入的控制方法。本發明專利技術的控制方法為首先設置交換機端口與MAC地址的關系，提供終端設備MAC地址接入網絡的控制；當終端設備通過網線接入交換機時，終端交換機使用TRAP消息上報控制系統接入MAC的地址,控制系統判斷該MAC地址允許從該端口接入時,交換機的該端口被配置為啟用狀態；當判斷該MAC地址為非法接入時,阻斷該端口；當非法接入連線被移除后,控制系統通過SNMP協議下發終端交換機該的端口狀態為默認狀態實現單一MAC地址在特定終端交換機或特定區域內多交換機的接入控制。本發明專利技術降低了系統整體遷移的成本和難度，為企業節約大量基礎設施部署成本，部署及操作較簡單。

【技術實現步驟摘要】

本專利技術涉及終端安全接入控制領域，尤其涉及一種基于SNMP協議的終端安全接入的控制方法。
技術介紹
當前企業局域網環境安全問題突出，企業面臨內部威脅、分支機構、訪客和移動辦公等帶來的終端接入控制壓力，以利益驅動的專業黑客往往鎖定企業終端為目標，利用終端中的安全漏洞，獲取對重要資源未經授權的訪問，進而對核心業務系統發起攻擊，造成數據被竊聽或破壞，核心業務中斷、惡意代碼、信息泄密等安全事故，使企業業務和信譽受到損失。SNMTP (簡單網絡管理協議)作為一種通用安全管理標準協議，能夠實時監控各種網絡設備的運行狀態及數據交換信息，如交換機各端口接入IP、MAC及數據傳輸的動態信息。當非法主機接入時，可通過SNMP獲取其MAC地址并進行身份認證，并通過關閉該主機連接的設備端口實現對非法連接的阻斷，結合多臺網絡設備接入信息的集中管控，還可以實現移動主機的跨設備、跨區域認證與數據傳輸控制。
技術實現思路
: 本專利技術所解決的技術問題是提供一種可解決企業局域網環境中終端非法接入的問題，同時在大中型環境中實現移動終端漫游控制功能，解決了企業非法終端接入的安全問題，同時實現了移動辦公的需求，采用SNMP協議來實現，網絡適應性強，降低了系統整體遷移的成本和難度，可充分利用現有的網絡架構，不必進行昂貴的網絡架構改造的基于SNMP協議的終端安全接入的控制方法。為解決上述的技術問題，本技術采取的技術方案: 一種基于SNMP協議的終端安全接入的控制方法，其特殊之處在于:所述控制方法為首先設置交換機端口與MAC地址的關系，提供終端設備MAC地址接入網絡的控制；當終端設備通過網線接入交換機時，終端交換機使用TRAP消息上報控制系統接入MAC的地址，控制系統判斷該MAC地址允許從該端口接入時，交換機的該端口被配置為啟用狀態；當判斷該MAC地址為非法接入時，阻斷該端口 ；當非法接入連線被移除后，控制系統通過SNMP協議下發終端交換機該的端口狀態為默認狀態實現單一 MAC地址在特定終端交換機或特定區域內多交換機的接入控制。上述的基于SNMP協議的終端安全接入的控制方法的步驟如下: 步驟一:啟用交換機的SNMP模塊，交換機配置陷阱主機為終端接入控制系統，終端接入控制系統配置交換機的SNMP主機信息，設置交換機對應的合法MAC地址； 步驟二:終端設備連接到交換機端口，交換機使用TRAP消息將端口接入信息發送至終端接入控制系統； 步驟三:終端接入控制系統使用SNMP獲取當前接入端口學習到動態MAC表，與該端口對應的合法MAC地址信息進行對照匹配，判斷當前該端口接入MAC地址是否含有非法終端MAC ； 步驟四:當MAC地址相同時回應終端接入正常狀態，接口工作正常；當MAC地址不匹配時，發送SNMP-SET命令設置該端口為關閉狀態，接入該端口的終端無法使用； 步驟五:當連接到交換機端口上的終端設備發生變化，重復執行步驟二到步驟五。與現有技術相比，本專利技術不光解決了企業局域網環境中終端非法接入的問題，同時在大中型環境中實現移動終端漫游接入控制功能，解決了企業內部移動辦公的需求，采用SNMP協議來實現，由于該協議屬于通用網絡管理標準，可充分利用現有網絡架構以及基礎設施，降低了系統整體遷移的成本和難度，為企業節約大量基礎設施部署成本，相對于802.1x協議而言，也不用額外安裝客戶端軟件，部署及操作較簡單。附圖說明圖1為本專利技術實現終端設備與特定交換機具體端口綁定流程 圖2為本專利技術實現終端設備與特定交換機綁定流程 圖3為本專利技術實現終端設備與特定安全域交換機綁定流程圖。具體實施方式: 下面結合附圖和具體實施方式對本專利技術進行詳細說明。參見圖1-3，本專利技術的控制方法為首先設置交換機端口與MAC地址的關系，提供終端設備MAC地址接入網絡的控制；當終端設備通過網線接入交換機時，終端交換機使用TRAP消息上報控制系統接入MAC的地址，控制系統判斷該MAC地址允許從該端口接入時，交換機的該端口被配置為啟用狀態；當判斷該MAC地址為非法接入時，阻斷該端口 ；當非法接入連線被移除后，控制系統通過SNMP協議下發終端交換機該的端口狀態為默認狀態實現單一 MAC地址在特定終端交換機或特定區域內多交換機的接入控制。上述的控制方法的步驟如下: 步驟一:啟用交換機的SNMP模塊，交換機配置陷阱主機為終端接入控制系統，終端接入控制系統配置交換機的SNMP主機信息，設置交換機對應的合法MAC地址； 步驟二:終端設備連接到交換機端口，交換機使用TRAP消息將端口接入信息發送至終端接入控制系統； 步驟三:終端接入控制系統使用SNMP獲取當前接入端口學習到動態MAC表，與該端口對應的合法MAC地址信息進行對照匹配，判斷當前該端口接入MAC地址是否含有非法終端MAC ； 步驟四:當MAC地址相同時回應終端接入正常狀態，接口工作正常；當MAC地址不匹配時，發送SNMP-SET命令設置該端口為關閉狀態，接入該端口的終端無法使用； 步驟五:當連接到交換機端口上的終端設備發生變化，如插拔網線、更換網卡或終端設備時，重復執行步驟二到步驟五。實施例1: 主要實現終端與特定交換機具體端口綁定，該方法由終端接入控制系統以及交換機共同來實現端口接入控制，具體方法包括以下步驟: 步驟一:啟用交換機的SNMP模塊，交換機配置陷阱主機為終端接入控制系統，終端接入控制系統配置交換機的SNMP主機信息，設置具體端口對應的合法MAC地址； 步驟二:終端設備連接到某交換機端口，交換機使用TRAP消息將端口接入信息發送至終端接入控制系統； 步驟三:終端接入控制系統使用SNMP獲取當前接入端口學習到動態MAC表，與該端口對應的合法MAC地址信息進行對照匹配，判斷當前該端口接入MAC地址是否含有非法終端MAC ； 步驟四:當MAC地址相同時回應終端接入正常狀態，接口工作正常；當MAC地址不匹配時，發送SNMP-SET命令設置該端口為關閉狀態，接入該端口的終端無法使用； 步驟五:當連接到交換機端口上的終端設備發生變化，重復執行步驟二到步驟五。實施例2: 主要實現終端與特定交換機進行綁定，該方法由終端接入控制系統以及終端交換機共同來實現端口接入控制，具體方法包括以下步驟: 步驟一:啟用交換機的SNMP模塊，交換機配置陷阱主機為終端接入控制系統，終端接入控制系統配置交換機的SNMP主機信息，設置交換機對應的合法MAC地址集合； 步驟二:終端設備連接到某交換機端口，交換機使用TRAP消息將端口接入信息發送至終端接入控制系統； 步驟三:終端接入控制系統使用SNMP獲取當前接入端口學習到動態MAC表，與該交換機對應的合法MAC地址信息進行對照匹配，判斷當前該端口接入MAC地址是否含有非法終端 MAC ； 步驟四:當MAC地址相同時回應終端接入正常狀態，接口工作正常；當MAC地址不匹配時，發送SNMP-SET命令設置該端口為關閉狀態，接入該端口的終端無法使用； 步驟五:當連接到交換機端口上的終端設備發生變化，重復執行步驟二到步驟五。實施例3: 主要實現終端與特定安全域所有交換機進行綁定，該方法由終端接入控制系統以及交換機共同來實現端口接入控制，具體方法包括以下步驟: 步驟一:啟用交換本文檔來自技高網...

【技術保護點】
一種基于SNMP協議的終端安全接入的控制方法，其特征在于：所述控制方法為首先設置交換機端口與MAC地址的關系，提供終端設備MAC地址接入網絡的控制；當終端設備通過網線接入交換機時，終端交換機使用TRAP消息上報控制系統接入MAC的地址,控制系統判斷該MAC地址允許從該端口接入時,交換機的該端口被配置為啟用狀態；當判斷該MAC地址為非法接入時,阻斷該端口；當非法接入連線被移除后,控制系統通過SNMP協議下發終端交換機該的端口狀態為默認狀態實現單一MAC地址在特定終端交換機或特定區域內多交換機的接入控制。

【技術特征摘要】
1.一種基于SNMP協議的終端安全接入的控制方法，其特征在于:所述控制方法為首先設置交換機端口與MAC地址的關系，提供終端設備MAC地址接入網絡的控制；當終端設備通過網線接入交換機時，終端交換機使用TRAP消息上報控制系統接入MAC的地址，控制系統判斷該MAC地址允許從該端口接入時，交換機的該端口被配置為啟用狀態；當判斷該MAC地址為非法接入時，阻斷該端口 ；當非法接入連線被移除后，控制系統通過SNMP協議下發終端交換機該的端口狀態為默認狀態實現單一 MAC地址在特定終端交換機或特定區域內多交換機的接入控制。2.根據權利要求1所述的基于SNMP協議的終端安全接入的控制方法，其特征在于:所述控制方法的步驟如下: 步驟一:啟用交換機的...

【專利技術屬性】
技術研發人員：何建鋒，劉亞軒，
申請(專利權)人：西安交大捷普網絡科技有限公司，
類型：發明
國別省市：