[发明专利]实时报告制网络终端管理的方法

说明书

技术领域

本发明涉及网络管理中的设备管理，尤其涉及实时报告制网络终端管理的方法。

背景技术

在金融、电信、公安等政府部门及行业中，由于其信息具有高度保密性的要求，对于部门及企业内部网络需要进行严格的管理和控制，所有未经过允许和认证的终端都不能接入到部门及企业内部网络中。 

对网络终端的接入进行管理便是一种重要的网络终端管理和控制手段，通常使用人工的方法来进行管理：人工对所有可以接入内网的网络端口进行管理和分配，对每一个允许接入的终端分配一个IP 地址，记录终端的MAC 地址，接入的网络端口地址；对网络端口进行人工管理和控制，固定接入位置，对所有可以接入内网的办公区域进行门禁及人工控制，合法的终端在配置分配的IP 地址后，在分配的固定位置接入到部门及企业内部网络； 使用人工管理和区域控制的方法对网络终端的接入进行管理存在着以下问题：管理成本较高；无法完全有效的接入终端进行控制。

本发明中提供的方法和系统，提供了一种通过SNMP 和Telnet/SSH 方式自动获取内网核心交换机上各个端口下联终端的方法，自动进行比对和匹配，对于不被允许的终端自动阻断，不允许接入部门及企业内网，对于允许的终端则自动放行，从而能够节约人工管理的成本，又提供了完整有效的终端管理。

发明内容

SNMP  Simple Network Management Protocol；

Telnet Internet 远程登陆服务的一种协议和方式；

SSH，指 Secure Shell，为建立在应用层和传输层基础上的安全协议；

IP 地址，指Internet  Protocol 地址，为每个连接在Internet 上的主机分配的一个32bit 地址；

MAC 地址，指Media Access Control 地址，用来定义网络设备的位置；

PORT 交换机的端口，也可称为接口。

本发明提供了一种网络管理中的终端管理方法，该方法包括自动对终端进行阻断和自动进行放行的方法。

本发明中，所述自动对终端进行阻断和自动进行放行的方法，其步骤为：

1）通过自动导入或者人工编辑的方法录入交换机端口与终端的IP 地址、MAC 的对应关系；

2）设置终端匹配规则；

3）手工录入需要进行管理的内网的子网地址、子网掩码、读团体字，获取网络中的核心交换机信息，手工配置核心交换机的读团体字；或者手工录入每台核心交换机的IP 地址、Telnet/SSH 的帐号、Telnet/SSH 的端口号、Telnet/SSH 的密码、Telnet 的特权模式提示符、Telnet 的特权密码、Telnet 的命令提示符；  

4）获取核心交换机的端口列表信息；

5）获取核心交换机每个端口下联的MAC 地址信息；

6）获取网络中IP 地址与MAC 的对应关系列表； 

7）根据配置的终端匹配规则，对步骤3）、4）、5）中获取到核心交换机端口、IP地址、MAC 地址与步骤1）中自动导入或者人工录入的交换机端口、IP 地址、MAC 地址信息进行匹配；

8）对于不符合匹配规则的终端进行阻断，对于符合匹配规则的终端进行放行。 

本发明中，所述步骤1）中自动导入交换机端口与终端的IP 地址、MAC 的对应关系，采用但不限于以下的文件格式：EXCEL、XML、TXT。 

本发明中，所述步骤2）中的终端匹配规则可以采用三种规则：核心交换机端口与终端IP 地址绑定、核心交换机端口与终端MAC 地址绑定、核心交换机端口与终端IP 地址以及MAC 地址绑定。 

本发明中，所述步骤4）获取网络中的核心交换机的端口列表信息，采用SNMP 方式自动对网络进行扫描，通过.iso.org.dod.internet.mgmt.mib-2.interfaces.ifTable MIB 项，获取核心交换机的端口列表信息；同时，支持通过Telnet/SSH 方式，自动远程登录到核心交换机上，执行命令，获取核心交换机的端口列表信息。

本发明中，所述步骤1）、2）、3），其顺序可以任意交换。