一種網(wǎng)絡(luò)準(zhǔn)入裝置及方法
【專利摘要】本發(fā)明公開了一種網(wǎng)絡(luò)準(zhǔn)入裝置及方法,屬于數(shù)字交換網(wǎng)絡(luò)領(lǐng)域���,應(yīng)用于網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)�,所述準(zhǔn)入網(wǎng)關(guān)判斷所獲取的所述客戶機(jī)的MAC地址是否是授權(quán)的MAC地址;若否�����,則判定獲取的所述客戶機(jī)的MAC地址為非授權(quán)的MAC地址��,將所述準(zhǔn)入網(wǎng)關(guān)的MAC地址修改為獲取的所述客戶機(jī)的MAC地址���,將修改后的準(zhǔn)入網(wǎng)關(guān)的MAC地址發(fā)送到所述交換機(jī)����,指令所述交換機(jī)將所述準(zhǔn)入網(wǎng)關(guān)的MAC地址與所述第二端口的對(duì)應(yīng)關(guān)系中的所述準(zhǔn)入網(wǎng)關(guān)的MAC地址更新為獲取的所述客戶機(jī)MAC地址�。本發(fā)明降低終端主機(jī)的客戶端軟件被木馬和病毒入侵的概率、有效避免了認(rèn)證服務(wù)器故障導(dǎo)致網(wǎng)絡(luò)癱瘓�、有效避免了非網(wǎng)管型交換機(jī)無法用于網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的缺陷。
【專利說明】一種網(wǎng)絡(luò)準(zhǔn)入裝置及方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及數(shù)字交換網(wǎng)絡(luò)領(lǐng)域�,具體而言,涉及一種網(wǎng)絡(luò)準(zhǔn)入裝置及方法����。
【背景技術(shù)】
[0002] 局域網(wǎng)安全一直是一個(gè)世界性的網(wǎng)絡(luò)安全問題,局域網(wǎng)具有一定的私密性���,例如 某個(gè)企業(yè)的公司網(wǎng)絡(luò)����,不希望在未經(jīng)授權(quán)的情況下有人能夠接入到網(wǎng)絡(luò)中���,因此誕生了許 多局域網(wǎng)準(zhǔn)入的相關(guān)安全技術(shù)����。
[0003] 目前現(xiàn)有的網(wǎng)絡(luò)準(zhǔn)入技術(shù)主要包括:一��、802. lx認(rèn)證技術(shù)�����,這種認(rèn)證技術(shù)需要交 換機(jī)支持802. lx協(xié)議且需要在交換機(jī)的每個(gè)接口進(jìn)行配置�,同時(shí)802. lx認(rèn)證技術(shù)還需要 對(duì)終端主機(jī)的客戶端進(jìn)行配置,使所述終端主機(jī)的客戶端必須支持EAP0L協(xié)議���,在實(shí)際網(wǎng) 絡(luò)布局中��,往往根據(jù)不同廠家生產(chǎn)的認(rèn)證系統(tǒng)�,使用指定的客戶端軟件�。因此,802. lx認(rèn)證 技術(shù)的缺點(diǎn)為:1.客戶端需要安裝特殊軟件�����,易被病毒或木馬入侵,2.非網(wǎng)管型交換機(jī)無 法應(yīng)用802. lx認(rèn)證技術(shù)�����,3.需要認(rèn)證服務(wù)器對(duì)賬戶信息驗(yàn)證��,若認(rèn)證服務(wù)器故障���,則整個(gè) 網(wǎng)絡(luò)認(rèn)證系統(tǒng)都癱瘓�����;二���、基于桌面管理系統(tǒng)的網(wǎng)絡(luò)準(zhǔn)入技術(shù),是基于企業(yè)電腦桌面端的內(nèi) 網(wǎng)安全管理軟件系統(tǒng)�,此技術(shù)具有以下缺點(diǎn):需要在每一臺(tái)計(jì)算機(jī)安裝客戶端軟件,此客戶 端軟件易被植入木馬或病毒����,威脅網(wǎng)絡(luò)及電腦安全,且操作繁瑣,維護(hù)不便�;三、交換機(jī)MAC 地址認(rèn)證����,此技術(shù)的原理是用戶聯(lián)網(wǎng)時(shí)將MAC地址作為用戶名和密碼發(fā)送給交換機(jī)進(jìn)行驗(yàn) 證,如果是合法地址則允許通過����,否則拒絕訪問��,此技術(shù)具有以下缺點(diǎn):1.如果認(rèn)證服務(wù)器 故障��,則整個(gè)網(wǎng)絡(luò)無法正常工作��,2.此技術(shù)中的交換機(jī)必須要支持MAC地址認(rèn)證����,因此,非 網(wǎng)管型交換機(jī)無法部署此認(rèn)證技術(shù)�;四、其他的網(wǎng)絡(luò)認(rèn)證技術(shù)�,例如WEB認(rèn)證、DHCP認(rèn)證和 ΡΡΡ0Ε認(rèn)證����,此類認(rèn)證技術(shù)只能解決用戶端是否有權(quán)訪問互聯(lián)網(wǎng)或者其他網(wǎng)段的問題����,無法 解決在同一個(gè)局域網(wǎng)內(nèi)主機(jī)互相訪問或者不同網(wǎng)段的局域網(wǎng)互相訪問的準(zhǔn)入問題��,此類準(zhǔn) 入技術(shù)無法跨越VLAN���。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的目的在于提供一種基于MAC地址表干擾的無客戶端網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)�,避免 安裝特殊的客戶端軟件���、降低終端主機(jī)的客戶端軟件被木馬和病毒入侵的概率�����、有效避免 了認(rèn)證服務(wù)器故障導(dǎo)致網(wǎng)絡(luò)癱瘓�、有效避免了非網(wǎng)管型交換機(jī)無法用于網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的缺 陷�����。
[0005] 第一方面��,本發(fā)明提供的一種網(wǎng)絡(luò)準(zhǔn)入方法��,應(yīng)用于網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),所述網(wǎng)絡(luò)準(zhǔn)入 系統(tǒng)包括交換機(jī)��,準(zhǔn)入網(wǎng)關(guān)和客戶機(jī)�����,所述客戶機(jī)通過所述交換機(jī)的第一端口與所述交換 機(jī)連接���,所述準(zhǔn)入網(wǎng)關(guān)通過所述交換機(jī)的第二端口與所述交換機(jī)連接�,所述準(zhǔn)入網(wǎng)關(guān)存儲(chǔ) 有預(yù)設(shè)的授權(quán)客戶機(jī)的MAC地址��,所述交換機(jī)存儲(chǔ)有所述準(zhǔn)入網(wǎng)關(guān)的MAC地址與所述第二 端口的對(duì)應(yīng)關(guān)系�����,所述方法包括:
[0006] 所述準(zhǔn)入網(wǎng)關(guān)從所述交換機(jī)獲取所述客戶機(jī)發(fā)送的地址解析協(xié)議數(shù)據(jù)包�����,所述地 址解析協(xié)議數(shù)據(jù)包中包括所述客戶機(jī)的MAC地址�;
[0007] 所述準(zhǔn)入網(wǎng)關(guān)將獲取的所述數(shù)據(jù)包中的客戶機(jī)的MAC地址與所述預(yù)設(shè)的授權(quán)客 戶機(jī)的MAC地址進(jìn)行比對(duì)�����,判斷獲取的所述客戶機(jī)的MAC地址是否是授權(quán)的MAC地址;
[0008] 若否�,則判定獲取的所述客戶機(jī)的MAC地址為非授權(quán)的MAC地址,將所述準(zhǔn)入網(wǎng)關(guān) 的MAC地址修改為獲取的所述客戶機(jī)的MAC地址���,將修改后的準(zhǔn)入網(wǎng)關(guān)的MAC地址發(fā)送到 所述交換機(jī)���,指令所述交換機(jī)將所述準(zhǔn)入網(wǎng)關(guān)的MAC地址與所述第二端口的對(duì)應(yīng)關(guān)系中的 所述準(zhǔn)入網(wǎng)關(guān)的MAC地址更新為獲取的所述客戶機(jī)MAC地址。
[0009] 采用本發(fā)明提供的一種網(wǎng)絡(luò)準(zhǔn)入方法具有如下技術(shù)效果:每一臺(tái)客戶機(jī)的MAC地 址對(duì)應(yīng)一個(gè)交換機(jī)連接端口���,MAC地址與交換機(jī)端口編號(hào)的映射關(guān)系構(gòu)成MAC地址表���,不管 是可網(wǎng)管交換機(jī)還是非網(wǎng)管交換機(jī)都具備所述MAC地址表,若所述MAC地址表發(fā)生錯(cuò)誤�, 則所述MAC地址表與所述交換機(jī)端口編號(hào)的映射關(guān)系就不成立,則該MAC地址的客戶機(jī)就 無法訪問所述交換機(jī)��,即無法與其他客戶機(jī)通信��。因此���,所述非授權(quán)MAC地址通過與之連接 的交換機(jī)端口實(shí)現(xiàn)與所述虛擬局域網(wǎng)的非法訪問�����,修改所述非授權(quán)MAC地址對(duì)應(yīng)的連接端 口,則所述非授權(quán)MAC地址指向所述準(zhǔn)入網(wǎng)關(guān)與所述交換機(jī)的連接端口,即第二端口�����,則所 述非授權(quán)MAC地址就斷開了與所述交換機(jī)的連接。因此����,本發(fā)明實(shí)施例直接操作MAC地址, 即使不同協(xié)議的網(wǎng)絡(luò)設(shè)備也可以通過本發(fā)明實(shí)施例的方法實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入����,提高了設(shè)備的兼 容性。因此���,不管是可網(wǎng)管型交換機(jī)還是非網(wǎng)管型交換機(jī)都具備所述MAC地址表,因此有效 避免了非網(wǎng)管型交換機(jī)無法用于網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)���;另外�,與現(xiàn)有技術(shù)相比�����,本發(fā)明實(shí)施例無需 配置認(rèn)證客戶端,降低終端主機(jī)的客戶端軟件被木馬和病毒入侵的概率����;再者,通過對(duì)所述 非授權(quán)MAC地址與所述非授權(quán)MAC地址對(duì)應(yīng)的連接端口的映射關(guān)系的修改斷開所述非授權(quán) MAC地址與所述虛擬局域網(wǎng)之間的訪問��,而不采用現(xiàn)有技術(shù)的認(rèn)證服務(wù)器����,有效避免了認(rèn) 證服務(wù)器故障導(dǎo)致網(wǎng)絡(luò)癱瘓,與現(xiàn)有技術(shù)相比��,本發(fā)明實(shí)施例對(duì)于客戶機(jī)的MAC地址是否 授權(quán)的判斷是由所述準(zhǔn)入網(wǎng)關(guān)判定的���,所述準(zhǔn)入網(wǎng)關(guān)可以是一臺(tái)帶有運(yùn)算處理功能的處理 器���,因此即使所述準(zhǔn)入網(wǎng)關(guān)故障,僅僅是無法阻止非授權(quán)的客戶機(jī)訪問網(wǎng)絡(luò)�,而對(duì)網(wǎng)絡(luò)運(yùn)行 不造成影響。另外����,本發(fā)明實(shí)施例可以將所述交換機(jī)通過路由器連接到互聯(lián)網(wǎng),所述準(zhǔn)入網(wǎng) 關(guān)將所述修改后的準(zhǔn)入網(wǎng)關(guān)MAC地址通過廣播的形式通過所述交換機(jī)和所述路由器發(fā)送 到所述互聯(lián)網(wǎng)�����,因此能夠拒絕各網(wǎng)段的虛擬局域網(wǎng)內(nèi)的任何一臺(tái)非授權(quán)客戶機(jī)的訪問。 [0010] 進(jìn)一步�,所述交換機(jī)為非網(wǎng)管型交換機(jī)。
[0011] 進(jìn)一步���,還包括所述準(zhǔn)入網(wǎng)關(guān)設(shè)定定時(shí)時(shí)間和發(fā)送頻率�����,所述發(fā)送頻率高于所述 客戶機(jī)的地址解析協(xié)議數(shù)據(jù)包的發(fā)送頻率���;所述準(zhǔn)入網(wǎng)關(guān)將所述準(zhǔn)入網(wǎng)關(guān)的MAC地址修改 為所述客戶機(jī)的MAC地址之后,在所述定時(shí)時(shí)間內(nèi)�,所述準(zhǔn)入網(wǎng)關(guān)持續(xù)將所述修改后的準(zhǔn) 入網(wǎng)關(guān)的MAC地址以所述發(fā)送頻率發(fā)送到所述交換機(jī),直至所述定時(shí)時(shí)間結(jié)束�。
[0012] 進(jìn)一步,所述獲取所述地址解析協(xié)議數(shù)據(jù)包中所述客戶機(jī)的MAC地址之后���,該方 法還包括,將所述準(zhǔn)入網(wǎng)關(guān)獲取的所述客戶機(jī)的MAC地址和所述準(zhǔn)入網(wǎng)關(guān)存儲(chǔ)的預(yù)設(shè)的授 權(quán)客戶機(jī)的MAC地址進(jìn)行顯示�。
[0013] 進(jìn)一步,所述系統(tǒng)還包括終端����,所述終端與所述準(zhǔn)入網(wǎng)關(guān)相連��,所述判斷所述客戶 機(jī)的MAC地址是否是授權(quán)的MAC地址之后���,該方法還包括將判斷結(jié)果和所述客戶機(jī)的MAC 地址發(fā)送到所述終端。
[0014] 第二方面����,本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)準(zhǔn)入裝置,應(yīng)用于網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)�����,所述網(wǎng)絡(luò) 準(zhǔn)入系統(tǒng)包括交換機(jī)�,準(zhǔn)入網(wǎng)關(guān)和客戶機(jī),所述客戶機(jī)通過所述交換機(jī)的第一端口與所述 交換機(jī)連接�,所述準(zhǔn)入網(wǎng)關(guān)通過所述交換機(jī)的第二端口與所述交換機(jī)連接,所述準(zhǔn)入網(wǎng)關(guān) 存儲(chǔ)有預(yù)設(shè)的授權(quán)客戶機(jī)的MAC地址�,所述交換機(jī)存儲(chǔ)有所述準(zhǔn)入網(wǎng)關(guān)的MAC地址與所述 第二端口的對(duì)應(yīng)關(guān)系,所述裝置包括:
[0015] 設(shè)置在所述準(zhǔn)入網(wǎng)關(guān)內(nèi)的判斷單元����、采集單元、第一執(zhí)行單元和第二執(zhí)行單元�,
[0016] 所述采集單元�����,用于從所述交換機(jī)獲取所述客戶機(jī)發(fā)送的地址解析協(xié)議數(shù)據(jù)包��, 所述地址解析協(xié)議數(shù)據(jù)包中包括所述客戶機(jī)的MAC地址�����;
[0017] 所述判斷單元����,用于將獲取的所述數(shù)據(jù)包中的客戶機(jī)的MAC地址與所述預(yù)設(shè)的授 權(quán)客戶機(jī)的MAC地址進(jìn)行比對(duì)����,判斷獲取的所述客戶機(jī)的MAC地址是否是授權(quán)的MAC地址;
[0018] 所述第一執(zhí)行單元����,用于所述判斷單元判斷獲取的所述客戶機(jī)的MAC地址是非授 權(quán)的MAC地址后,將所述準(zhǔn)入網(wǎng)關(guān)的MAC地址修改為獲取的所述客戶機(jī)的MAC地址�;
[0019] 所述第二執(zhí)行單元,用于將修改后的準(zhǔn)入網(wǎng)關(guān)的MAC地址發(fā)送到所述交換機(jī)����,指 令所述交換機(jī)將所述準(zhǔn)入網(wǎng)關(guān)的MAC地址與所述第二端口的對(duì)應(yīng)關(guān)系中的所述準(zhǔn)入網(wǎng)關(guān) 的MAC地址更新為獲取的所述客戶機(jī)MAC地址。
[0020] 進(jìn)一步��,所述交換機(jī)為非網(wǎng)管型交換機(jī)���。
[0021] 進(jìn)一步��,所述準(zhǔn)入網(wǎng)關(guān)還包括:
[0022] 定時(shí)單元���,用于設(shè)定定時(shí)時(shí)間;
[0023] 頻率單元��,用于設(shè)定發(fā)送頻率�,所述發(fā)送頻率高于所述客戶機(jī)的地址解析協(xié)議數(shù) 據(jù)包的發(fā)送頻率;
[0024] 所述第一執(zhí)行單元執(zhí)行將所述準(zhǔn)入網(wǎng)關(guān)的MAC地址修改為所述客戶機(jī)的MAC地址 之后����,在所述定時(shí)時(shí)間內(nèi),所述準(zhǔn)入網(wǎng)關(guān)持續(xù)將所述修改后的準(zhǔn)入網(wǎng)關(guān)的MAC地址以所述 發(fā)送頻率發(fā)送到所述交換機(jī)��,直至所述定時(shí)單元的定時(shí)時(shí)間結(jié)束��。
[0025] 進(jìn)一步�,所述準(zhǔn)入網(wǎng)關(guān)還包括:顯示單元,用于在所述采集單元獲取所述地址解析 協(xié)議數(shù)據(jù)包中所述客戶機(jī)的MAC地址之后,將所述采集單元獲取的所述客戶機(jī)的MAC地址 和所述準(zhǔn)入網(wǎng)關(guān)存儲(chǔ)的預(yù)設(shè)的授權(quán)客戶機(jī)的MAC地址進(jìn)行顯示����。
[0026] 進(jìn)一步,所述準(zhǔn)入網(wǎng)關(guān)還包括:該裝置還包括終端�,所述準(zhǔn)入網(wǎng)關(guān)還包括發(fā)送單 元,所述發(fā)送單元用于在所述判斷單元判斷所述客戶機(jī)的MAC地址是否是授權(quán)的MAC地址 之后�,將判斷結(jié)果和所述客戶機(jī)的MAC地址發(fā)送到所述終端。
[0027] 本發(fā)明的其他特征和優(yōu)點(diǎn)將在隨后的說明書中闡述�,并且,部分地從說明書中變 得顯而易見���,或者通過實(shí)施本發(fā)明實(shí)施例而了解����。本發(fā)明實(shí)施例的目的和其他優(yōu)點(diǎn)可通過 在所寫的說明書��、權(quán)利要求書�、以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得
【專利附圖】
【附圖說明】
[0028] 圖1示出了本發(fā)明實(shí)施例一種網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的實(shí)施例一的結(jié)構(gòu)示意圖;
[0029] 圖2示出了由圖1所示一種網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)執(zhí)行的用于網(wǎng)絡(luò)準(zhǔn)入方法的方法流程 圖����;
[0030] 圖3示出了本發(fā)明實(shí)施例一種網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的實(shí)施例二的結(jié)構(gòu)示意圖;
[0031] 圖4示出了由圖3所示一種網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)執(zhí)行的用于網(wǎng)絡(luò)準(zhǔn)入方法的方法流程 圖����。
【具體實(shí)施方式】
[0032] 下面通過具體的實(shí)施例子并結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步的詳細(xì)描述����。顯然����,所描 述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本 領(lǐng)域普通人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例���,都屬于本發(fā)明保護(hù) 的范圍�����。
[0033] 如圖1所示���,本發(fā)明實(shí)施例一種網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的實(shí)施例一,包括:網(wǎng)絡(luò)核心交換機(jī) 100�����、準(zhǔn)入網(wǎng)關(guān)101、出口路由器102���、互聯(lián)網(wǎng)103����、A客戶機(jī)104�、B客戶機(jī)105和C客戶機(jī)106, 所述網(wǎng)絡(luò)核心交換機(jī)100用于為VLAN (Virtual Local Area Network,虛擬局域網(wǎng))內(nèi)的所 述A客戶機(jī)104�����、所述B客戶機(jī)105和所述C客戶機(jī)106互相訪問提供連接端口���,所述出口 路由器102用于使網(wǎng)絡(luò)核心交換機(jī)100連接到所述互聯(lián)網(wǎng)103,使所述網(wǎng)絡(luò)核心交換機(jī)100 連接互聯(lián)網(wǎng)103上各網(wǎng)段的VLAN����,所述準(zhǔn)入網(wǎng)關(guān)101與所述網(wǎng)絡(luò)核心交換機(jī)100的端口連 接��,所述準(zhǔn)入網(wǎng)關(guān)101用于獲得所述網(wǎng)絡(luò)核心交換機(jī)100內(nèi)的數(shù)據(jù)包���,并從所述數(shù)據(jù)包內(nèi)截 取非授權(quán)MAC地址�����,修改非授權(quán)MAC地址的連接端口�,使非授權(quán)MAC地址的客戶機(jī)無法通過 所述網(wǎng)絡(luò)核心交換機(jī)100與其他客戶機(jī)通信。
[0034] 圖2是由圖1所示一種網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)執(zhí)行的用于網(wǎng)絡(luò)準(zhǔn)入方法的方法流程圖�����。
[0035] 由于圖2是由圖1所執(zhí)行的一種方法�����,因此不單獨(dú)對(duì)圖1所述的實(shí)施例的具體實(shí) 施方式介紹��,下面將結(jié)合圖1和圖2闡述本發(fā)明實(shí)施例一的【具體實(shí)施方式】:
[0036] 如圖2所示�����,第一步S10,連接所有網(wǎng)段的虛擬局域網(wǎng)���;
[0037] 將所述A客戶機(jī)104、所述B客戶機(jī)105和所述C客戶機(jī)106均與與所述網(wǎng)絡(luò)核心 交換機(jī)100的各個(gè)端口連接�,例如所述A客戶機(jī)104與所述網(wǎng)絡(luò)核心交換機(jī)100的1號(hào)端 口連接,所述B客戶機(jī)105與所述網(wǎng)絡(luò)核心交換機(jī)100的2號(hào)端口連接��,所述C客戶機(jī)106 與所述網(wǎng)絡(luò)核心交換機(jī)100的3號(hào)端口連接,因此由所述A客戶機(jī)104���、所述B客戶機(jī)105 和所述C客戶機(jī)106構(gòu)成的同網(wǎng)段內(nèi)VLAN通過所述網(wǎng)絡(luò)核心交換機(jī)100連接�,再將所述網(wǎng) 絡(luò)核心交換機(jī)100的4號(hào)端口通過所述出口路由器102連接至所述互聯(lián)網(wǎng)103,因此所述 網(wǎng)絡(luò)核心交換機(jī)100通過所述出口路由器102連接所有網(wǎng)段VLAN���,將所述網(wǎng)絡(luò)核心交換機(jī) 100的trunk端口與所述準(zhǔn)入網(wǎng)關(guān)101連接���,因此所述準(zhǔn)入網(wǎng)關(guān)101通過所述出口路由器 102和所述網(wǎng)絡(luò)核心交換機(jī)100連接所有網(wǎng)段的虛擬局域網(wǎng)。當(dāng)然��,也可以通過其他方式連 接所有網(wǎng)段VLAN��,例如將上述trunk端口改為Access端口或者Hybrid端口��,顯然這些連接 所有網(wǎng)段的虛擬局域網(wǎng)在本領(lǐng)域普通技術(shù)人員不通過創(chuàng)造性勞動(dòng)都可以獲得����,因此均屬于 本發(fā)明保護(hù)范圍。
[0038] 第二步SI 1�����,獲取來自虛擬局域網(wǎng)的地址解析協(xié)議(Address Resolution Protocol��,ARP)數(shù)據(jù)包內(nèi)的MAC地址;
[0039] 所有客戶機(jī)在訪問VLAN的時(shí)候都要先發(fā)送一個(gè)ARP數(shù)據(jù)包�,以獲得目的客戶機(jī)的 MAC地址,所述ARP數(shù)據(jù)包內(nèi)包括源MAC地址����、源IP地址和目的客戶機(jī)的IP地址。并且�����, 所述ARP數(shù)據(jù)包是通過廣播的形式發(fā)到所有與所述網(wǎng)絡(luò)核心交換機(jī)100的端口連接的除自 身之外的所有客戶機(jī)內(nèi)�。所述準(zhǔn)入網(wǎng)關(guān)101通過所述網(wǎng)絡(luò)核心交換機(jī)100的trunk端口獲 取來自VLAN的ARP數(shù)據(jù)包,在所述準(zhǔn)入網(wǎng)關(guān)101內(nèi)的Linux系統(tǒng)內(nèi)設(shè)有數(shù)據(jù)采集分析工具 tcpdump�,通過所述數(shù)據(jù)采集分析工具tcpdump截取所述ARP數(shù)據(jù)包內(nèi)的MAC地址����。在所 述處理器107中選擇一個(gè)開源的Linux系統(tǒng),當(dāng)然也可以選擇FreeBSD系統(tǒng)����,在所述Linux 系統(tǒng)中包括數(shù)據(jù)采集分析工具tcpdump,所述數(shù)據(jù)采集分析工具tcpdump能夠監(jiān)控所述網(wǎng) 絡(luò)內(nèi)的所有ARP數(shù)據(jù)包����,因此通過tcpdump獲取所述網(wǎng)絡(luò)核心交換機(jī)100內(nèi)的ARP數(shù)據(jù)包�。 也可以通過應(yīng)用程序來訪問數(shù)據(jù)鏈路層的方式獲得所述ARP數(shù)據(jù)包�,例如Unix系統(tǒng)里的 Libpcap函數(shù)庫,所述Libpcap函數(shù)庫是一個(gè)提供了針對(duì)網(wǎng)絡(luò)數(shù)據(jù)包捕獲系統(tǒng)的高層接口 的開源函數(shù)庫����。其作用是提供獨(dú)立于平臺(tái)的應(yīng)用程序接口,以消除程序中針對(duì)不同操作系 統(tǒng)所包含的數(shù)據(jù)包捕獲代碼模塊�。這樣以來,就解決了程序移植性的問題��,有利于提高開發(fā) 的效率��。Libpcap的抓包機(jī)制就是在數(shù)據(jù)鏈路層加一個(gè)旁路處理器��,當(dāng)一個(gè)數(shù)據(jù)包到達(dá)網(wǎng)絡(luò) 接口時(shí)��,Libpcap首先利用已經(jīng)創(chuàng)建的Socket從鏈路層驅(qū)動(dòng)程序中獲得該數(shù)據(jù)包的拷貝���, 再通過Tap函數(shù)將數(shù)據(jù)包發(fā)給BPF過濾器����,BPF過濾器根據(jù)用戶定義好的過濾規(guī)則對(duì)數(shù)據(jù) 包進(jìn)行逐一匹配��,匹配成功則放入內(nèi)核緩沖區(qū)�����,并傳遞給用戶緩沖區(qū),以備后續(xù)處理����,若匹 配不成功在直接丟棄。如果是windows系統(tǒng)下可以用WinPcap工具實(shí)現(xiàn)數(shù)據(jù)包捕獲���。因此 通過上述的數(shù)據(jù)采集分析工具tcpdump����、Libpcap工具和WinPcap工具均可以捕獲數(shù)據(jù)包����, 再通過相應(yīng)程序指令獲得數(shù)據(jù)包內(nèi)的MAC地址。當(dāng)然本領(lǐng)域技術(shù)人員在未付出創(chuàng)造性勞動(dòng) 的前提下獲得的其他捕獲數(shù)據(jù)包內(nèi)的MAC地址的方式均屬于本發(fā)明的保護(hù)范圍�,在此不再 贅述����。
[0040] 第三步S12,獲取所述MAC地址中的非授權(quán)MAC地址;
[0041] 在所述準(zhǔn)入網(wǎng)關(guān)101有存儲(chǔ)數(shù)據(jù)的功能模塊���,所述準(zhǔn)入網(wǎng)關(guān)101內(nèi)設(shè)有兩個(gè)數(shù)據(jù) 存儲(chǔ)庫���,第一數(shù)據(jù)庫存儲(chǔ)預(yù)設(shè)的授權(quán)MAC地址�����,命名為白名單��,另一個(gè)數(shù)據(jù)庫存儲(chǔ)有預(yù)設(shè)的 非授權(quán)MAC地址����,命名為黑名單��。將所接受的MAC地址與預(yù)設(shè)的MAC地址逐個(gè)字節(jié)比對(duì)�,若 所接收的數(shù)據(jù)包內(nèi)的MAC地址與所述預(yù)設(shè)的非授權(quán)MAC地址相同,則認(rèn)為所接收的MAC地 址為非授權(quán)MAC地址��;也可以先判定所述接收MAC地址所屬于的網(wǎng)段�,根據(jù)該網(wǎng)段判斷所述 所接受的MAC地址為授權(quán)MAC地址還是非授權(quán)MAC地址,例如若所述非授權(quán)MAC地址的最后 四位位于0-100之間��,則認(rèn)為所接受MAC地址為非授權(quán)MAC地址�,本領(lǐng)域普通技術(shù)人員在沒 有做出創(chuàng)造性勞動(dòng)前提下所獲得的其他判斷所接收地址是否為非授權(quán)地址的所有實(shí)施例, 都屬于本發(fā)明保護(hù)的范圍���。另外��,若所接收的MAC地址與所述黑名單和所述白名單的地址 均不相同����,則認(rèn)為所接收的MAC地址為非授權(quán)MAC地址。再者�����,將所接收的MAC地址中非授 權(quán)MAC地址存儲(chǔ)到黑名單中�����,其余的MAC地址存儲(chǔ)到白名單中�����,更新所述白名單和黑名單的 內(nèi)容�����,以備下一次比對(duì)���。
[0042] 第四步S13,斷開所述非授權(quán)MAC地址與虛擬局域網(wǎng)之間的訪問;
[0043] 每一個(gè)設(shè)備的MAC地址對(duì)應(yīng)一個(gè)連接端口,因此MAC地址與其連接端口的映射 關(guān)系構(gòu)成一個(gè)MAC地址表��,所述的MAC地址表儲(chǔ)存在所述網(wǎng)絡(luò)核心交換機(jī)100內(nèi)��,不論 是網(wǎng)管型交換機(jī)和非網(wǎng)管型交換機(jī)都有所述MAC地址表�,設(shè)備通過所述MAC地址表找到 訪問數(shù)據(jù)的入口和接收數(shù)據(jù)的出口,若此MAC地址表發(fā)生錯(cuò)誤���,則設(shè)備與其連接端口的 映射關(guān)系就不成立����,就無法實(shí)現(xiàn)設(shè)備與端口的連接����。例如,根據(jù)第三步sl2找到A客戶 機(jī)的MAC地址為非授權(quán)MAC地址����,假設(shè)A客戶機(jī)的MAC地址為0001-0001-0001-0001, 則MAC地址0001-0001-0001-0001對(duì)應(yīng)的連接端口為所述網(wǎng)絡(luò)核心交換機(jī)100的1號(hào)端 口���,若所述準(zhǔn)入網(wǎng)關(guān)101的MAC地址為0005-0005-0005-0005,所對(duì)應(yīng)的地址為所述網(wǎng)絡(luò) 核心交換機(jī)100的trunk端口����,所述準(zhǔn)入網(wǎng)關(guān)檢測(cè)到所述A客戶機(jī)的MAC地址為非授權(quán) MAC地址時(shí),所述準(zhǔn)入網(wǎng)關(guān)101自動(dòng)學(xué)習(xí)設(shè)定一個(gè)干擾MAC地址�,所述干擾MAC地址為將 自己的MAC地址改為所述A客戶機(jī)的MAC地址,然后再打包成數(shù)據(jù)包���,所述數(shù)據(jù)包內(nèi)的源 MAC 地址為 0001-0001-0001-0001�����,目的 MAC 地址為 FFFF-FFFF-FFFF-FFFF�����,并發(fā)送給所述 網(wǎng)絡(luò)核心交換機(jī)100,即此時(shí)所述準(zhǔn)入網(wǎng)關(guān)101的MAC地址為0001-0001-0001-0001����,使 0001-0001-0001-0001的MAC地址的連接端口變?yōu)樗鼍W(wǎng)絡(luò)核心交換機(jī)100的trunk端口����, 則此時(shí)在MAC地址表中,MAC地址0001-0001-0001-0001與所述網(wǎng)絡(luò)核心交換機(jī)100的1號(hào) 端口的連接關(guān)系不成立�����,則所述A客戶機(jī)斷開了與所述網(wǎng)絡(luò)核心交換機(jī)100的連接����,無法與 VLAN內(nèi)的其他客戶機(jī)通信。另外���,所有發(fā)往所述A客戶機(jī)的數(shù)據(jù)����,要先進(jìn)入所述網(wǎng)絡(luò)核心交 換機(jī)100,所述網(wǎng)絡(luò)核心交換機(jī)100根據(jù)數(shù)據(jù)的目的MAC地址找到與所述目的MAC地址對(duì)應(yīng) 的連接端口��,所述準(zhǔn)入網(wǎng)關(guān)101的干擾使A客戶機(jī)的MAC地址對(duì)應(yīng)的連接端口由端口 1變 為trunk端口�����,因此所有發(fā)往所述A客戶機(jī)的數(shù)據(jù)都通過所述網(wǎng)絡(luò)核心交換機(jī)100的trunk 端口發(fā)往所述準(zhǔn)入網(wǎng)關(guān)1 〇 1��,使所述A客戶機(jī)在整個(gè)網(wǎng)絡(luò)中完全被孤立�����,既無法發(fā)送數(shù)據(jù)也 無法接收數(shù)據(jù)�����。本實(shí)施例中���,所述準(zhǔn)入網(wǎng)關(guān)101將所述干擾MAC地址打包以廣播的形式發(fā) 送到所有網(wǎng)絡(luò)中�����,因此所述準(zhǔn)入網(wǎng)關(guān)101能夠?qū)λ芯W(wǎng)段的虛擬局域的客戶機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn) 入管理�。
[0044] 因此,本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)準(zhǔn)入裝置及方法�����,通過對(duì)非授權(quán)MAC地址的 干擾���,使MAC地址表中的非授權(quán)MAC地址與連接端口的映射關(guān)系發(fā)生錯(cuò)誤���,斷開非授權(quán)MAC 地址與VLAN的通信,與現(xiàn)有技術(shù)相比�����,不需要安裝特殊客戶端軟件�,非網(wǎng)管型交換機(jī)和網(wǎng) 管型交換機(jī)都能應(yīng)用本發(fā)明實(shí)施例的網(wǎng)絡(luò)準(zhǔn)入方法,也不需要安裝網(wǎng)絡(luò)認(rèn)證服務(wù)器���,有效 避免了安裝的客戶端軟件被木馬和病毒入侵����,影響系統(tǒng)安全,有效解決了非網(wǎng)管型交換機(jī) 無法用于網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的缺陷��,有效避免了認(rèn)證服務(wù)器故障導(dǎo)致網(wǎng)絡(luò)癱瘓的狀況發(fā)生����;另 夕卜���,所述準(zhǔn)入網(wǎng)關(guān)101通過所述網(wǎng)絡(luò)核心交換機(jī)100和所述出口路由器102的連接��,使所述 準(zhǔn)入網(wǎng)關(guān)101能夠監(jiān)控所有網(wǎng)段VLAN的數(shù)據(jù)訪問�����,有效避免了現(xiàn)有的網(wǎng)絡(luò)準(zhǔn)入技術(shù)無法跨 越VLAN的缺陷���。
[0045] 如圖3所示的一種網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)實(shí)施例二,與圖1所述的一種網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)實(shí)施 例一相比還包括:處理器107���、人機(jī)界面109��、數(shù)據(jù)存儲(chǔ)單元108和定時(shí)裝置110,所述處理 器107通過其內(nèi)部的運(yùn)算單元處理所述準(zhǔn)入網(wǎng)關(guān)101接收的數(shù)據(jù)�,也能夠向所述準(zhǔn)入網(wǎng)關(guān) 101發(fā)送數(shù)據(jù),所述人機(jī)界面109將所述準(zhǔn)入網(wǎng)關(guān)101的信息顯示�����,例如將所述準(zhǔn)入網(wǎng)關(guān) 101接收的MAC地址或者其他相關(guān)信息�,所述人機(jī)界面109還可以向所述準(zhǔn)入網(wǎng)關(guān)101輸入 數(shù)據(jù);所述數(shù)據(jù)存儲(chǔ)單元108存儲(chǔ)預(yù)設(shè)的授權(quán)MAC地址和非授權(quán)MAC地址用于所述準(zhǔn)入網(wǎng) 關(guān)101讀取��,也可以存儲(chǔ)所述準(zhǔn)入網(wǎng)關(guān)101輸入的數(shù)據(jù)��;所述定時(shí)裝置110用于向所述準(zhǔn)入 網(wǎng)關(guān)101發(fā)送一段定時(shí)時(shí)間�,便于持續(xù)干擾非授權(quán)MAC地址的訪問。
[0046] 圖4是由圖3所示一種網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)執(zhí)行的用于網(wǎng)絡(luò)準(zhǔn)入方法的方法流程圖���。
[0047] 由于圖4是由圖3所執(zhí)行的一種方法��,因此不單獨(dú)對(duì)圖3所述的實(shí)施例的具體實(shí) 施方式介紹�����,下面將結(jié)合圖3和圖4闡述本發(fā)明實(shí)施例二的【具體實(shí)施方式】:
[0048] 如圖4所示��,第一步S20,配置VLAN網(wǎng)絡(luò)����;
[0049] 圖4中所示的本發(fā)明實(shí)施例二的步驟S20配置VLAN網(wǎng)絡(luò)與圖2所示的本發(fā)明實(shí) 施例一的步驟S10連接所有網(wǎng)段的虛擬局域網(wǎng)相同,因此在本發(fā)明實(shí)施例二中不再描述��。
[0050] 第二步S21���,獲取VLAN的ARP數(shù)據(jù)包���;
[0051] 圖4中所示的本發(fā)明實(shí)施例二的步驟S21獲取VLAN的ARP數(shù)據(jù)包與圖2所示的 本發(fā)明實(shí)施例一的步驟SI 1獲取來自虛擬局域網(wǎng)的ARP數(shù)據(jù)包內(nèi)的MAC地址的采集數(shù)據(jù)方 式相同,因此在本發(fā)明實(shí)施例二中不再描述���。
[0052] 第三步S22,截取ARP數(shù)據(jù)包內(nèi)的MAC地址;
[0053] 采用圖2中所示的S11步驟����,即所述獲取來自虛擬局域網(wǎng)的ARP數(shù)據(jù)包內(nèi)的MAC 地址中的數(shù)據(jù)采集分析工具tcpdump、Libpcap函數(shù)庫或WinPcap中的任一工具截取ARP數(shù) 據(jù)包內(nèi)的MAC地址���,另外本發(fā)明實(shí)施例二通過本發(fā)明實(shí)施例一的步驟S11除了能夠獲得所 接收ARP數(shù)據(jù)包的MAC地址外�,還可以獲得所接收ARP數(shù)據(jù)包的所述MAC地址所對(duì)應(yīng)的相 關(guān)廠家信息及源IP地址���。將所接收ARP數(shù)據(jù)包的MAC地址���、IP地址和相關(guān)廠家信息存儲(chǔ) 到所述數(shù)據(jù)存儲(chǔ)單元108內(nèi)����。
[0054] 第四步S23,判斷MAC地址是否授權(quán)��;
[0055] 圖2中所示S12的所述的有存儲(chǔ)數(shù)據(jù)的功能模塊采用圖3所示的所述數(shù)據(jù)存儲(chǔ) 單元108,即所述白名單和所述黑名單存儲(chǔ)在所述數(shù)據(jù)存儲(chǔ)單元108內(nèi)�����,所述處理器107讀 取所述數(shù)據(jù)存儲(chǔ)單元108內(nèi)存儲(chǔ)的所接收數(shù)據(jù)包的MAC地址����,再按照?qǐng)D2中所示S12步驟 判定所接收ARP數(shù)據(jù)包的MAC地址是否授權(quán);另外����,除了采用圖2中所述的S12步驟的實(shí) 施方式之外,還可以通過所述S22步驟獲得的IP地址或者廠家信息判斷所述的MAC地址 是否為授權(quán)MAC地址����,【具體實(shí)施方式】為在所述準(zhǔn)入網(wǎng)關(guān)101定義一端允許訪問的客戶機(jī)的 IP地址,假設(shè)是192. 168. 1. 96到192. 168. 1. 201之間�,若所接收的MAC地址的IP地址為 192. 168. 1. 88,則認(rèn)為所接收的MAC地址的客戶機(jī)處于非授權(quán)訪問的IP網(wǎng)段內(nèi),則將所接 收的MAC地址判定為非授權(quán)MAC地址�����。同理根據(jù)所接收MAC地址的設(shè)備的生產(chǎn)廠家可以判 定是否為本公司內(nèi)的設(shè)備,進(jìn)而判定所接收MAC地址是否為授權(quán)MAC地址��。另外�,圖3所述 的一種網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)中還包括所述處理器107和所述人機(jī)界面109,所述準(zhǔn)入網(wǎng)關(guān)101接收 的MAC地址、IP地址���、生產(chǎn)廠家以及其他信息經(jīng)過所述處理器107處理后經(jīng)所述人機(jī)界面 109顯示�����,所述人機(jī)界面109將接收數(shù)據(jù)包內(nèi)的MAC地址��、IP地址、生產(chǎn)廠家�����、所述白名單及 所述黑名單分類顯示����,網(wǎng)絡(luò)管理工作者通過所述人機(jī)界面109直觀判斷所接收MAC地址是 否授權(quán),另外通過所述人機(jī)界面109便于手動(dòng)添加 MAC地址到所述黑名單或所述白名單內(nèi)����。
[0056] 若所接收的MAC地址是非授權(quán)MAC地址���,則進(jìn)行第五步S24 ;
[0057] 若所接收的MAC地址是授權(quán)MAC地址,則返回到步驟S21��,重新獲取VLAN的ARP數(shù) 據(jù)包�����,并重新判定所述ARP數(shù)據(jù)包內(nèi)的MAC地址是否為授權(quán)MAC地址�。
[0058] 第五步S24,設(shè)置干擾MAC地址;
[0059] 按照所述圖2所示的S13步驟設(shè)置用于斷開所述非授權(quán)MAC地址與所述網(wǎng)絡(luò)核心 交換機(jī)100的端口的連接的干擾MAC地址���;
[0060] 第六步S25,設(shè)定定時(shí)時(shí)間和發(fā)送頻率�;
[0061] 通過圖3所示的定時(shí)裝置110,設(shè)定一個(gè)時(shí)間���,在所述定時(shí)時(shí)間內(nèi)�����,持續(xù)修改所述 非授權(quán)MAC地址的連接端口���,使所述非授權(quán)MAC地址在所述定時(shí)時(shí)間內(nèi)持續(xù)斷開與所述虛 擬局域網(wǎng)的連接�����,避免所述非授權(quán)MAC地址與所述虛擬局域網(wǎng)的訪問被斷開后����,非法訪問 的客戶機(jī)再次將ARP數(shù)據(jù)包發(fā)送到所述網(wǎng)絡(luò)核心交換機(jī)100內(nèi)����,而修復(fù)所述MAC地址表,使 所述MAC地址表內(nèi)���,所述非授權(quán)MAC地址的映射端口為所述非法訪問的客戶機(jī)與所述網(wǎng)絡(luò) 核心交換機(jī)100的端口���,從而所述非法訪問的客戶機(jī)能夠訪問所述虛擬局域網(wǎng)。另外���,所述 定時(shí)裝置110還能夠設(shè)定一個(gè)發(fā)送頻率,所述發(fā)送頻率高于所述非法訪問的客戶機(jī)的ARP 數(shù)據(jù)包的頻率���,使所述干擾MAC地址以所述發(fā)送頻率廣播到整個(gè)網(wǎng)絡(luò)中���,非法訪問的客戶 機(jī)在如此高的速率下很難通過修改MAC地址的方式修復(fù)MAC地址表而訪問網(wǎng)絡(luò)。
[0062] 第七步S26,發(fā)送所述干擾MAC地址,斷開非授權(quán)MAC地址的連接����;
[0063] 通過所述步驟S24設(shè)置干擾MAC地址后,將所述干擾MAC地址以步驟S25中設(shè)定 的所述定時(shí)時(shí)間和所述發(fā)送頻率發(fā)送給所述網(wǎng)絡(luò)核心交換機(jī)100,若此時(shí)A客戶機(jī)為非授 權(quán)訪問的客戶機(jī)���,則所述干擾MAC地址使所述A客戶機(jī)的MAC地址的對(duì)應(yīng)端口變?yōu)樗鼍W(wǎng) 絡(luò)核心交換機(jī)100與所述準(zhǔn)入網(wǎng)關(guān)101的連接端口��,所有發(fā)往A客戶機(jī)的數(shù)據(jù)都將發(fā)送給 所述準(zhǔn)入網(wǎng)關(guān)1 〇 1����,則A客戶機(jī)在整個(gè)網(wǎng)絡(luò)中被孤立�����,無法與任何主機(jī)通信����。
[0064] 執(zhí)行所述S26步驟之后,返回到所述S21步驟�����,再次獲取VLAN數(shù)據(jù)包����,然后再次對(duì) 非授權(quán)MAC地址干擾�����。
[0065] 另外��,所述準(zhǔn)入網(wǎng)關(guān)101將一段時(shí)間內(nèi)的授權(quán)MAC地址名單和非授權(quán)MAC地址名 單按照郵件或者信息的形式通過所述網(wǎng)絡(luò)核心交換機(jī)100發(fā)送給網(wǎng)絡(luò)管理工作者���,便于網(wǎng) 絡(luò)管理工作者了解網(wǎng)絡(luò)準(zhǔn)入情況。
[0066] 需要說明的是��,在本文中���,注入第一和第二之類的關(guān)系術(shù)語僅僅用來表示一個(gè)實(shí) 體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來���,而不一定要求或者暗示這些實(shí)體或操作之間存 在任何這種實(shí)際的關(guān)系或者順序。而且�����,術(shù)語"包括"�、"包含"或者其任何其他變體意在涵 蓋非排他性的包含���,從而使得包括一系列要素的過程����、方法、物品或者設(shè)備不僅包括那些要 素����,而且還包括沒有明確列出的其他要素,或者還包括為這種過程�����、方法��、物品或者設(shè)備所 固有的要素�����。在沒有更多限制的情況下��,由語句"包括一個(gè)......"限定的要素�����,并不排除 在包括所有要素的過程����、方法��、物品或者設(shè)備中還存在另外的相同要素��。
[0067] 顯然����,本領(lǐng)域的技術(shù)人員應(yīng)該明白���,上述的本發(fā)明的各模塊或各步驟可以用通用 的計(jì)算裝置來實(shí)現(xiàn)��,它們可以集中在單個(gè)的計(jì)算裝置上�,或者分布在多個(gè)計(jì)算裝置所組成 的網(wǎng)絡(luò)上�,可選地,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來實(shí)現(xiàn)�����,從而����,可以將它們存儲(chǔ) 在存儲(chǔ)裝置中由計(jì)算裝置來執(zhí)行,或者將它們分別制作成各個(gè)集成電路模塊,或者將它們 中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來實(shí)現(xiàn)�。這樣,本發(fā)明不限制于任何特定的 硬件和軟件結(jié)合����。軟件類發(fā)明可有這段話��,否則刪除���。
[0068] 以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已�,并不用于限制本發(fā)明����,對(duì)于本領(lǐng)域的技 術(shù)人員來說,本發(fā)明可以有各種更改和變化�。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修 改�����、等同替換�����、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
【權(quán)利要求】
1. 一種網(wǎng)絡(luò)準(zhǔn)入方法,其特征在于��,應(yīng)用于網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)�����,所述網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)包括交換 機(jī)�,準(zhǔn)入網(wǎng)關(guān)和客戶機(jī),所述客戶機(jī)通過所述交換機(jī)的第一端口與所述交換機(jī)連接�,所述準(zhǔn) 入網(wǎng)關(guān)通過所述交換機(jī)的第二端口與所述交換機(jī)連接,所述準(zhǔn)入網(wǎng)關(guān)存儲(chǔ)有預(yù)設(shè)的授權(quán)客 戶機(jī)的MAC地址���,所述交換機(jī)存儲(chǔ)有所述準(zhǔn)入網(wǎng)關(guān)的MAC地址與所述第二端口的對(duì)應(yīng)關(guān)系����, 所述方法包括: 所述準(zhǔn)入網(wǎng)關(guān)從所述交換機(jī)獲取所述客戶機(jī)發(fā)送的地址解析協(xié)議數(shù)據(jù)包��,所述地址解 析協(xié)議數(shù)據(jù)包中包括所述客戶機(jī)的MAC地址�; 所述準(zhǔn)入網(wǎng)關(guān)將獲取的所述數(shù)據(jù)包中的客戶機(jī)的MAC地址與所述預(yù)設(shè)的授權(quán)客戶機(jī) 的MAC地址進(jìn)行比對(duì),判斷獲取的所述客戶機(jī)的MAC地址是否是授權(quán)的MAC地址�����; 若否,則判定獲取的所述客戶機(jī)的MAC地址為非授權(quán)的MAC地址����,將所述準(zhǔn)入網(wǎng)關(guān)的 MAC地址修改為獲取的所述客戶機(jī)的MAC地址,將修改后的準(zhǔn)入網(wǎng)關(guān)的MAC地址發(fā)送到所述 交換機(jī)�����,指令所述交換機(jī)將所述準(zhǔn)入網(wǎng)關(guān)的MAC地址與所述第二端口的對(duì)應(yīng)關(guān)系中的所述 準(zhǔn)入網(wǎng)關(guān)的MAC地址更新為獲取的所述客戶機(jī)MAC地址����。
2. 如權(quán)利要求1所述的方法�,其特征在于,所述交換機(jī)為非網(wǎng)管型交換機(jī)��。
3. 如權(quán)利要求1-2的任一所述的方法�,其特征在于,還包括所述準(zhǔn)入網(wǎng)關(guān)設(shè)定定時(shí)時(shí) 間和發(fā)送頻率�,所述發(fā)送頻率高于所述客戶機(jī)的地址解析協(xié)議數(shù)據(jù)包的發(fā)送頻率; 所述準(zhǔn)入網(wǎng)關(guān)將所述準(zhǔn)入網(wǎng)關(guān)的MAC地址修改為所述客戶機(jī)的MAC地址之后��,在所述 定時(shí)時(shí)間內(nèi)�,所述準(zhǔn)入網(wǎng)關(guān)持續(xù)將所述修改后的準(zhǔn)入網(wǎng)關(guān)的MAC地址以所述發(fā)送頻率發(fā)送 到所述交換機(jī),直至所述定時(shí)時(shí)間結(jié)束。
4. 如權(quán)利要求1-2的任一所述的方法���,其特征在于�,所述獲取所述地址解析協(xié)議數(shù)據(jù) 包中所述客戶機(jī)的MAC地址之后��,該方法還包括��,將所述準(zhǔn)入網(wǎng)關(guān)獲取的所述客戶機(jī)的MAC 地址和所述準(zhǔn)入網(wǎng)關(guān)存儲(chǔ)的預(yù)設(shè)的授權(quán)客戶機(jī)的MAC地址進(jìn)行顯示���。
5. 如權(quán)利要求1-2的任一所述的方法�����,其特征在于�����,所述網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)還包括終端��,所 述終端與所述準(zhǔn)入網(wǎng)關(guān)相連��,所述判斷所述客戶機(jī)的MAC地址是否是授權(quán)的MAC地址之后����, 該方法還包括將判斷結(jié)果和所述客戶機(jī)的MAC地址發(fā)送到所述終端。
6. -種網(wǎng)絡(luò)準(zhǔn)入裝置���,其特征在于����,應(yīng)用于網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)�,所述網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)包括交換 機(jī),準(zhǔn)入網(wǎng)關(guān)和客戶機(jī)��,所述客戶機(jī)通過所述交換機(jī)的第一端口與所述交換機(jī)連接���,所述準(zhǔn) 入網(wǎng)關(guān)通過所述交換機(jī)的第二端口與所述交換機(jī)連接,所述準(zhǔn)入網(wǎng)關(guān)存儲(chǔ)有預(yù)設(shè)的授權(quán)客 戶機(jī)的MAC地址�����,所述交換機(jī)存儲(chǔ)有所述準(zhǔn)入網(wǎng)關(guān)的MAC地址與所述第二端口的對(duì)應(yīng)關(guān)系���, 所述裝置包括: 設(shè)置在所述準(zhǔn)入網(wǎng)關(guān)內(nèi)的判斷單元����、采集單元�、第一執(zhí)行單元和第二執(zhí)行單元�����, 所述采集單元����,用于從所述交換機(jī)獲取所述客戶機(jī)發(fā)送的地址解析協(xié)議數(shù)據(jù)包��,所述 地址解析協(xié)議數(shù)據(jù)包中包括所述客戶機(jī)的MAC地址�����; 所述判斷單元����,用于將獲取的所述數(shù)據(jù)包中的客戶機(jī)的MAC地址與所述預(yù)設(shè)的授權(quán)客 戶機(jī)的MAC地址進(jìn)行比對(duì),判斷獲取的所述客戶機(jī)的MAC地址是否是授權(quán)的MAC地址�; 所述第一執(zhí)行單元,用于所述判斷單元判斷獲取的所述客戶機(jī)的MAC地址是非授權(quán)的 MAC地址后����,將所述準(zhǔn)入網(wǎng)關(guān)的MAC地址修改為獲取的所述客戶機(jī)的MAC地址; 所述第二執(zhí)行單元�,用于將修改后的準(zhǔn)入網(wǎng)關(guān)的MAC地址發(fā)送到所述交換機(jī),指令所 述交換機(jī)將所述準(zhǔn)入網(wǎng)關(guān)的MAC地址與所述第二端口的對(duì)應(yīng)關(guān)系中的所述準(zhǔn)入網(wǎng)關(guān)的MAC 地址更新為獲取的所述客戶機(jī)MAC地址��。
7. 如權(quán)利要求6所述的裝置,其特征在于���,所述交換機(jī)為非網(wǎng)管型交換機(jī)���。
8. 如權(quán)利要求6-7的任一所述的裝置,其特征在于����,所述準(zhǔn)入網(wǎng)關(guān)還包括: 定時(shí)單元,用于設(shè)定定時(shí)時(shí)間�����; 頻率單元��,用于設(shè)定發(fā)送頻率���,所述發(fā)送頻率高于所述客戶機(jī)的地址解析協(xié)議數(shù)據(jù)包 的發(fā)送頻率; 所述第一執(zhí)行單元執(zhí)行將所述準(zhǔn)入網(wǎng)關(guān)的MAC地址修改為所述客戶機(jī)的MAC地址之 后�����,在所述定時(shí)時(shí)間內(nèi)��,所述準(zhǔn)入網(wǎng)關(guān)持續(xù)將所述修改后的準(zhǔn)入網(wǎng)關(guān)的MAC地址以所述發(fā) 送頻率發(fā)送到所述交換機(jī),直至所述定時(shí)單元的定時(shí)時(shí)間結(jié)束��。
9. 如權(quán)利要求6-7的任一所述的裝置��,其特征在于����,所述準(zhǔn)入網(wǎng)關(guān)還包括: 顯示單元,用于在所述采集單元獲取所述地址解析協(xié)議數(shù)據(jù)包中所述客戶機(jī)的MAC地 址之后�,將所述采集單元獲取的所述客戶機(jī)的MAC地址和所述準(zhǔn)入網(wǎng)關(guān)存儲(chǔ)的預(yù)設(shè)的授權(quán) 客戶機(jī)的MAC地址進(jìn)行顯示。
10. 如權(quán)利要求6-7的任一所述的裝置���,其特征在于�����,該裝置還包括終端�����,所述準(zhǔn)入網(wǎng) 關(guān)還包括發(fā)送單元����,所述發(fā)送單元用于在所述判斷單元判斷所述客戶機(jī)的MAC地址是否是 授權(quán)的MAC地址之后����,將判斷結(jié)果和所述客戶機(jī)的MAC地址發(fā)送到所述終端�����。
【文檔編號(hào)】H04L12/911GK104158767SQ201410445235
【公開日】2014年11月19日 申請(qǐng)日期:2014年9月3日 優(yōu)先權(quán)日:2014年9月3日
【發(fā)明者】呂書健 申請(qǐng)人:呂書健