一种基于VLAN切换的终端准入控制方法与流程

一种基于vlan切换的终端准入控制方法
技术领域
1.本发明涉及一种基于vlan切换的终端准入控制方法，属于网络安全技术领域。


背景技术：

2.在信息化建设全面展开的今天，越来越多的企事业单位和政务部门将信息技术应用于现代化办公和业务处理，经过多年的网络建设，已逐步形成了一个完整的网络，对于安全准入系统的灵活性、复杂度的要求随之变高。网络越来越复杂，终端接入方式也越来越多，网络中存在着各种各样的新老网络设备，存在各种复杂的网络结构，像各类终端、多种品牌的交换机等。因此，如何做到灵活控制、安全接入，在多种接入方式并存的环境下，如何很好的满足及适应客户网络的复杂性是准入研究必须解决的难题。
3.vlan安全网关技术是在基于ip的网络上建立多种虚拟网关动态切换机制的方法。vlan安全网关技术的工作原理，克服了相同子网vlan不能通信的难题，使得相同子网段设备虽然处于不同vlan中，同样可以实现不在三层路由基础上仍能相互通讯的功能。与此同时，在多虚拟网关技术切换vlan的过程中系统可以引导进入认证页面解决了非桌管客户端无法进行web认证的弊端。从安装的角度来看，减少了网络管理员巨大的工作量。
4.网络二层准入现有的方案还有基于802.1x技术的准入，这是交换机提供的一种接入设备认证入网的方式，通过客户端发送eap协议的认证数据包，交换机将认证信息发送给aaa服务器进行认证，认证通过后的设备可以入网。但基于802.1x的准入方式需要交换机对802.1x支持，因而对低端老旧的设备难以实际应用，而且需要对所有交换机进行手动配置且各厂商的配置方式差异巨大，运维工作量巨大。802.1x准入依赖终端设备安装客户端，也限制了其应用范围。
5.基于vlan的准入方式解决了802.1x的上述问题，但也存在一些实现难题：
6.1.由于基于终端mac地址进行管理，造成了管理方面的困难。
7.2.需要对交换机进行配置，需要有一定的运维能力。
8.3.终端接入网络后，系统对其进行隔离的反应时间较长。


技术实现要素：

9.为解决上述问题，本发明提出一种基于vlan切换的终端准入控制方法，具体技术方案如下，
10.一种基于vlan切换的终端准入控制方法，包括如下步骤：
11.步骤一：将服务器连接到管控网络，需要两个网口连接：一个业务管理口，提供可以正常访问的ip地址；一个连接到交换机的trunk口；
12.步骤二：在服务器添加交换机的连接信息；
13.步骤三：服务器通过配置的连接信息连接交换机，并对交换机进行配置；
14.步骤四：交换机发现mac地址上线后，服务器立即将mac地址所在的端口切换至隔离vlan，阻断其对网络的正常访问；
15.步骤五：隔离区的终端用户进行网络访问时，由于处于隔离vlan，与正常网络相互不通，数据包会通过trunk口一路传输到服务器连接的trunk口上，服务器可以接收到该数据包；对于arp请求、dns请求转发至正常vlan；对于http的网络请求，将访问地址重定向到服务器，引导隔离区终端用户进行网络认证；
16.步骤六：隔离区终端用户从服务器下载软件安装并进行系统修复通过安全检查后，服务器将该终端用户所在的交换机端口切换至合法vlan，后续该终端用户可以正常访问网络。
17.优选的，所述步骤二中的连接信息具体是指telnet或ssh连接信息。
18.优选的，所述步骤三中对交换机进行配置的信息包括交换机厂商、登录方式、ip地址、端口号、用户名、密码、高级密码，通过配置的信息，服务器可以采用对应的连接方式连接交换机下发控制命令。
19.优选的，所述步骤四中交换机通过mac-trap和定时轮询的方式发现mac地址上线。
20.进一步的，所述步骤四中交换机发现mac地址上线后，交换机向服务器发送mac-trap信息，服务器通过发送trap的ip地址查找配置连接的交换机，通过该配置的信息连接交换机，然后依据trap消息中的端口和mac地址信息对交换机的对应端口进行vlan切换，将该端口切换至隔离vlan。
21.优选的，所述步骤五中服务器通过trunk口获取到的数据包为802.1q数据包，802.1q数据包中包括12位的虚拟局域网识别符vid，虚拟局域网识别符vid标记了该数据包所在的vlan，准入系统中通过mac地址关联了隔离vlan和正常vlan，如果数据包中源mac地址为隔离mac且vid为隔离vlan，说明该数据包为隔离vlan发出的请求数据包；如果数据包的目的mac地址为隔离mac且vid为正常vlan，说明该数据包为到隔离vlan的响应数据包；对于需要放行的请求包，将数据包中的vid字段修改为正常vlan的id，然后将修改后的数据包通过trunk口发出；对于需要放行的响应包，将数据包中的vid字段修改为隔离vlan的id，然后将修改后的数据包通过trunk口发出；通过服务器的转发，实现了隔离vlan和正常vlan之间有限的数据通信。
22.本发明对交换机要求比较低，交换机只需要支持vlan配置与切换功能即可。运维量小，通过后台连接配置的方式，大大简化了运维工作量。不强制要求安装客户端，应用场景比较广泛。
附图说明
23.图1是本发明一种基于vlan切换的终端准入控制方法的工作流程图。
具体实施方式
24.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
25.vlan：virtual local area network，即虚拟局域网。虚拟局域网(vlan)是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等
因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。
26.802.1q：即virtual bridged local area networks，ieee 802.1q以及vlan tagging属于互联网下ieee 802.1的标准规范，允许多个网桥(bridge)在信息不被外泄的情况下公开的共享同一个实体网上。
27.如图1所示，一种基于vlan切换的终端准入控制方法，包括如下步骤：
28.步骤一：将服务器连接到管控网络，需要两个网口连接：一个业务管理口，提供可以正常访问的ip地址；一个连接到交换机的trunk口，交换机与交换机之间均通过trunk相连；
29.步骤二：在服务器添加交换机的telnet或ssh连接信息；
30.步骤三：服务器通过配置的连接信息连接交换机，并对交换机进行配置；
31.步骤四：交换机通过mac-trap和定时轮询的方式，发现mac地址上线后，服务器立即将mac地址所在的端口切换至隔离vlan，阻断其对网络的正常访问；
32.步骤五：隔离区的终端用户进行网络访问时，由于处于隔离vlan，与正常网络相互不通，数据包会通过trunk口一路传输到服务器连接的trunk口上，服务器可以接收到该数据包；对于arp请求、dns请求转发至正常vlan；对于http的网络请求，将访问地址重定向到服务器，引导隔离区终端用户进行网络认证；
33.步骤六：隔离区终端用户从服务器下载软件安装并进行系统修复通过安全检查后，服务器将该终端用户所在的交换机端口切换至合法vlan，后续该终端用户可以正常访问网络。通过交换机mac-trap和定时轮询的方式，发现mac地址离线后，清除该终端用户的连接信息，减少系统数据维护量。
34.所述步骤三中对交换机进行配置的信息包括交换机厂商、登录方式、ip地址、端口号、用户名、密码、高级密码，通过配置的信息，服务器可以采用对应的连接方式连接交换机下发控制命令。不同厂商的交换机控制指令不同，因而需要给交换机下发对应版本的控制指令。如华为交换机将端口gigabitethernet 0/0/1切换至vlan 10指令为：
35.interface gigabitethernet 0/0/1
36.port default vlan 10
37.quit
38.当设备连接到交换机，交换机发现mac地址上线后，交换机向服务器发送mac-trap信息，服务器通过发送trap的ip地址查找配置连接的交换机，通过该配置的信息连接交换机，然后依据trap消息中的端口和mac地址信息对交换机的对应端口进行vlan切换，将该端口切换至隔离vlan。
39.处于隔离vlan的设备，由于无法跟正常网络通信，因而设备发送的数据包会在隔离vlan中进行传播。通过各节点的trunk链路，这些数据包可以一路传输到服务器连接的trunk口上，服务器可以接收到该数据包。服务器通过trunk口获取到的数据包为802.1q数据包。802.1q并非实际封入原始帧中，相反，在以太网帧格式里，在mac地址源与以太网类型/长度的原始帧里添加一32位的域(field)。vlan标签领域必须遵守下列格式:
40.16bits3bits1bit12bitstpidpcpcfivid
41.标签协议识别符(tag protocol identifier，tpid)：一组16位的域其数值被设置在0x8100，以用来辨别某个ieee 802.1q的帧成为“已被标注的”，而这个域所被标定位置与以太形式/长度与未标签帧的域相同，这是为了用来区别未标签的帧。
42.优先权代码点(priority code point，pcp)：以一组3比特的域当作ieee 802.1q优先权的参考，从0(最低)到7(最高)，用来对数据流(音频、视频、文件等等)作传输的优先级。
43.标准格式指示(canonical format indicator，cfi)：1比特的域。若是这个域的值为1，则mac地址则为非标准格式；若为0，则为标准格式；在以太交换器中他通常默认为0。在以太和令牌环中，cfi用来做为两者的兼容。若帧在以太端中接收数据则cfi的值须设为1，且这个端口不能与未标签的其他端口桥接。
44.虚拟局域网识别符(vlan identifier，vid)：12位的域，用来具体指出帧是属于哪个特定vlan。值为0时，表示帧不属于任何一个vlan；此时，802.1q标签代表优先权。12位的值0x000和0xfff为保留值，其他的值都可用来做为共4094个vlan的识别符。在桥接器上，vlan1在管理上做为保留值。这个12位的域可分为两个6比特的域以延伸目的(destination)与源(source)之48位地址，18位的三重标记(triple-tagging)可和原本的48位相加成为66比特的地址。
45.服务器主要关注vlan标签中的vid字段，该字段标记了该数据包所在的vlan。准入系统中通过mac地址关联了隔离vlan和正常vlan。如果数据包中源mac地址为隔离mac且vid为隔离vlan，说明该数据包为隔离vlan发出的请求数据包。如果数据包的目的mac地址为隔离mac且vid为正常vlan，说明该数据包为到隔离vlan的响应数据包。对于需要放行的请求包，将数据包中的vid字段修改为正常vlan的id，然后将修改后的数据包通过trunk口发出。对于需要放行的响应包，将数据包中的vid字段修改为隔离vlan的id，然后将修改后的数据包通过trunk口发出。通过服务器的转发，实现了隔离vlan和正常vlan之间有限的数据通信。
46.如，内网中有一台接入交换机，正常访问的vlan为10。将vlan服务器连接到核心交换机，服务器的业务地址与vlan10可以正常通信。设备连接到交换机时，交换机发送mac-trap信息到服务器，服务器通过解析，识别到该交换机的a端口有mac地址接入。服务器通过配置的连接信息连接交换机，将a端口切换至配置的隔离vlan 999，从而将接入设备隔离，无法与网络内的合法设备通信。
47.设备接入之后对网络发起访问，服务器通过trunk口获取到访问数据包，并对arp、dns等基础请求转发到正常vlan，同时将http请求重定向到服务器的页面地址，引导用户进行认证。用户在服务器的引导下正常认证放行之后，服务器将设备所在交换机的端口切换回正常vlan，该设备可以正常入网。
48.本发明通过终端信息、交换机arp缓存信息对ip和mac地址进行匹配，从而可以通过可读性更高的ip地址的形式进行管理；运维方面，通过在系统中对交换机telnet或ssh连接进行配置，可以通过服务器自动对交换机进行配置，大大简化了运维的难度。可以通过在交换机上开启mac-trap功能，向服务器发送mac地址上线和离线信息，从而加速系统的反应速度。
49.尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，
其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。