[发明专利]一种针对集线器的内网边界管控方法

说明书

本发明提出了一种针对集线器的内网边界管控方法，包括：对内网边界设备进行认证；当内网边界设备未通过认证时，将未通过认证的内网边界设备的MAC地址与虚拟IP_X地址进行绑定，得到MAC‑IP_X地址；将未通过认证的内网边界设备的IP地址与虚拟MAC_x地址进行绑定，得到MAC_x‑IP地址；分别将MAC‑IP_X地址和MAC_x‑IP地址与交换机进行绑定；根据MAC‑IP_X地址和MAC_x‑IP地址阻止未通过认证的内网边界设备接入内网。本发明能够在不影响集线器端口上连接的合规设备的同时阻断不合规设备的接入。

技术领域

本发明涉及网络安全技术领域，具体涉及一种针对集线器的内网边界管控方法。

背景技术

内网存在数量庞大的未知类型的接入层设备，然而，绝大部分的网管系统只管理核心交换机、路由器及汇聚交换等关键的网络设备，内网终端接入的安全管理不能达到100％覆盖，传播病毒、信息窃取、网络攻击等严重威胁着内网的安全运行，对网络边界进行有效控制势在必行。

现有的内网终端接入的安全控制方法，通过获取终端设备的MAC地址，并与认证设备数据库中的终端进行对比，将未通过认证的设备的端口关闭。然而，内网中还存在不可网管的集线器，通常集线器会连接在可网管交换机上，由于集线器没有MAC地址，当集线器端口上连接有不合规设备时，如果直接将集线器上游交换机对应的端口关闭，会影响集线器端口上连接的合规设备的正常接入。

发明内容

鉴于上述的分析，本发明提出了一种针对集线器的内网边界管控方法，用以解决现有技术无法在不影响集线器端口上连接的合规设备的同时阻断不合规设备的问题。

为实现上述目的，本发明采用如下技术方案：

本发明第一方面，提供了一种针对集线器的内网边界管控方法，包括：对内网边界设备进行认证；当所述内网边界设备未通过认证时，将未通过认证的内网边界设备的MAC地址与虚拟IP_X地址进行绑定，得到MAC-IP_X地址；将所述未通过认证的内网边界设备的IP地址与虚拟MAC_x地址进行绑定，得到MAC_x-IP地址；分别将所述MAC-IP_X地址和MAC_x-IP地址与交换机进行绑定；根据所述MAC-IP_X地址和MAC_x-IP地址阻止所述未通过认证的内网边界设备接入内网。

作为一种优选的实施方式，当所述内网边界设备未通过认证时，判断未通过认证的内网边界设备是否与集线器连接；当所述未通过认证的内网边界设备与所述集线器连接时，执行将所述MAC地址与预设的虚拟IP_X地址进行绑定以及将所述IP地址与预设的虚拟MAC_x地址进行绑定的步骤。

作为一种优选的实施方式，在对内网边界设备进行认证之前，还包括：通过在交换机上定期轮询的方式获取内网边界设备的MAC-IP-Switch-Port对应表。

作为一种优选的实施方式，对内网边界设备进行认证，包括：当第一次获取内网边界设备的MAC-IP-Switch-Port对应表时，将所述MAC-IP-Switch-Port对应表存入在线设备缓存中，并将内网边界设备的MAC-IP-Switch-Port对应表与认证设备数据库中的MAC数据进行对比；当所述内网边界设备的MAC地址不在认证设备数据库，则判定所述内网边界设备未通过认证。