[发明专利]一种网络终端管理的方法

说明书

技术领域

本发明涉及网络管理中的设备管理，尤其涉及一种网络终端管理方法。

背景技术

在金融、电信、公安等政府部门及行业中，由于其信息具有高度保密性的要求，对于部门及企业内部网络需要进行严格的管理和控制，所有未经过允许和认证的终端都不能接入到部门及企业内部网络中。

对网络终端的接入进行管理便是一种重要的网络终端管理和控制手段，通常使用人工的方法来进行管理：人工对所有可以接入内网的网络端口进行管理和分配，对每一个允许接入的终端分配一个IP地址，记录终端的MAC地址，接入的网络端口地址；对网络端口进行人工管理和控制，固定接入位置，对所有可以接入内网的办公区域进行门禁及人工控制，合法的终端在配置分配的IP地址后，在分配的固定位置接入到部门及企业内部网络；

使用人工管理和区域控制的方法对网络终端的接入进行管理存在着以下问题：管理成本较高；无法完全有效的接入终端进行控制。

本发明中提供的方法和系统，提供了一种通过SNMP和Telnet/SSH方式自动获取内网核心交换机上各个端口下联终端

的方法，自动进行比对和匹配，对于不被允许的终端自动阻断，不允许接入部门及企业内网，对于允许的终端则自动放行，从而能够节约人工管理的成本，又提供了完整有效的终端管理。

发明内容

SNMP  Simple Network Management Protocol

Telnet  Internet远程登陆服务的一种协议和方式

SSH，指 Secure Shell，为建立在应用层和传输层基础上的安全协议

IP地址，指Internet Protocol地址，为每个连接在Internet上的主机分配的一个32bit地址

MAC地址，指Media Access Control地址，用来定义网络设备的位置

PORT 交换机的端口，也可称为接口。

本发明提供了一种网络管理中的终端管理方法，该方法包括自动对终端进行阻断和自动进行放行的方法。

本发明中，所述自动对终端进行阻断和自动进行放行的方法，其步骤为：1）通过自动导入或者人工编辑的方法录入交换机端口与终端的IP地址、MAC的对应关系；2）设置终端匹配规则；3）手工录入需要进行管理的内网的子网地址、子网掩码、读团体字，获取网络中的核心交换机信息，手工配置核心交换机的读团体字；或者手工录入每台核心交换机的IP地址、Telnet/SSH的帐号、Telnet/SSH的端口号、Telnet/SSH的密码、Telnet的特权模式提示符、Telnet的特权密码、Telnet的命令提示符； 4）获取核心交换机的端口列表信息；5）获取核心交换机每个端口下联的MAC地址信息；6）获取网络中IP地址与MAC的对应关系列表； 7）根据配置的终端匹配规则，对步骤3）、4）、5）中获取到核心交换机端口、IP地址、MAC地址与步骤1）中自动导入或者人工录入的交换机端口、IP地址、MAC地址信息进行匹配；8）对于不符合匹配规则的终端进行阻断，对于符合匹配规则的终端进行放行。

本发明中，所述步骤1）中自动导入交换机端口与终端的IP地址、MAC的对应关系，采用但不限于以下的文件格式：EXCEL、XML、TXT。

本发明中，所述步骤2）中的终端匹配规则可以采用三种规则：核心交换机端口与终端IP地址绑定、核心交换机端口与终端MAC地址绑定、核心交换机端口与终端IP地址以及MAC地址绑定。

本发明中，所述步骤3）获取网络中的核心交换机的端口列表信息，采用SNMP方式自动对网络进行扫描，通过.iso.org.dod.internet.mgmt.mib-2.interfaces.ifTable MIB项，获取核心交换机的端口列表信息；同时，支持通过Telnet/SSH方式，自动远程登录到核心交换机上，执行命令，获取核心交换机的端口列表信息；

本发明中，所述步骤1）、2）、3），其顺序可以任意交换。

本发明中，所述步骤5）获取核心交换机每个端口下联的MAC地址信息，通过SNMP方式获取地址转发表信息中类型为3(learned)的端口ID与MAC地址信息，并获取端口ID与端口索引号的对应信息，对应得到端口索引与MAC地址信息的对应关系，并根据生成树算法过滤掉其中的交换机互联的端口；同时，也可以通过Telnet/SSH方式，根据命令获取端口下联的MAC地址信息；