[发明专利]终端接入局域网的监控方法和监控装置

说明书

技术领域

本发明涉及网络通信安全技术，尤其是涉及一种终端接入局域网的监控方法和监控装置。

背景技术

局域网可实现资源共享，但在实现资源共享的同时，也增强了局域网内部病毒传播的速度和增加了病毒传播的途径。因此，及时有效地监控用户终端接入(如个人PC等)的合法性，成为接入交换设备的重要任务之一。

在局域网中，尤其是在政府企业等必须保证网络环境的绝对安全。为了达到网络环境的安全保障，目前是通过登记每个终端的MAC，并对其规划好IP静态分配，以防止人员交叉接入，同时对应接入端口需与个人对应。因此对应的接入交换机需对每个用户接入合法性做严格判别管理。

但是目前解决局域网非法用户接入的问题，一般采用802.1x的认证机制来实现。802.1x认证机制保证了用户本人信息的正确性，但不能保证用户终端的合法性。用户只要拥有认证客户端软件以及认证用户名和密码，就可使用不同的终端进入网络，用户IP不会受到控制，用户可以通过修改IP的方式非法获取网络信息。

发明内容

本发明的主要目的在于提供一种终端接入局域网的监控方法和监控装置，提高局域网的可靠性和安全性。

本发明提出一种终端接入局域网的监控方法，其包括步骤：数据链路层判断预设MAC地址表项中，是否存在接收ARP报文的接入端口与该ARP报文的源MAC地址的第一对应关系；若存在，则向网络层发送ARP报文；

网络层判断预设DHCP绑定表项中，是否存在源MAC地址、接入端口、以及与源MAC对应的IP地址三者间的第二对应关系；

若存在，则允许发送ARP报文的终端接入局域网。

优选地，数据链路层判断预设MAC地址表项中，是否存在接收ARP报文的接入端口与该ARP报文的源MAC地址的第一对应关系之后还包括：

若不存在，则触发告警提示；

判断接入端口是否连接其他终端；

若没有连接其他终端，则断开发送ARP报文的终端与局域网的连接。

优选地，网络层判断预设DHCP绑定表项中，是否存在源MAC地址、接入端口、以及与源MAC对应的IP地址三者间的第二对应关系之后还包括：

若不存在，则触发告警提示；

判断接入端口是否连接其他终端；

若没有连接其他终端，则断开发送ARP报文的终端与局域网的连接。

优选地，允许发送ARP报文的终端接入局域网之后还包括：

数据链路层判断预设MAC地址表项中，是否存在接收数据报文的接入端口与该数据报文的源MAC地址的第三对应关系；若存在，则查找与目的MAC地址对应的出端口，并通过该出端口转发数据报文。

优选地，数据链路层判断预设MAC地址表项中，是否存在接收数据报文的接入端口与该数据报文的源MAC地址的第三对应关系之后还包括：

若不存在，判断预设MAC表项中，是否存在数据报文的源MAC地址；

若是，则根据预设过滤策略，丢弃数据报文，触发告警提示；

判断接入端口是否连接其他终端；

若没有连接其他终端，则断开发送数据报文的终端与局域网的连接。

优选地，判断预设MAC表项中，是否存在数据报文的源MAC地址之后还包括：

若不存在，则判断接入端口的当前MAC地址数是否达到预设阈值；

若否，则建立源MAC地址与接入端口的第三对应关系，将该第三对应关系加入到MAC表项中，然后执行数据链路层判断预设MAC地址表项中，是否存在接收数据报文的接入端口与该数据报文的源MAC地址的第三对应关系的步骤。

优选地，判断接入端口的当前MAC地址数是否达到预设阈值之后还包括：

若是，则根据预设过滤策略，丢弃数据报文，触发告警提示；

判断接入端口是否连接其他终端；

若没有连接其他终端，则断开发送数据报文的终端与局域网的连接。

本发明另提出一种终端接入局域网的监控装置，其包括：包括数据链路层和网络层；数据链路层包括：第一判断模块和发送模块；网络层包括：第二判断模块和处理模块；

第一判断模块，用于判断预设MAC地址表项中，是否存在接收ARP报文的接入端口与该ARP报文的源MAC地址的第一对应关系；发送模块，用于当预设MAC地址表项中存在第一对应关系，向网络层模块发送ARP报文；

第二判断模块，用于判断预设DHCP绑定表项中，是否存在源MAC地址、接入端口、以及与源MAC对应的IP地址三者间的第二对应关系；

处理模块，用于当预设DHCP绑定表项中存在第二对应关系，允许发送ARP报文的终端接入局域网。