[发明专利]一种控制多网段环境下网络设备上网行为的方法及系统

说明书

本发明提供了一种控制多网段环境下网络设备上网行为的方法及系统，其中方法包括以下步骤：S1：在网络控制设备的网关上安装报文过滤驱动；S2：将所述网络控制设备连接到三层交换机上联出口网关所在的网段VLAN1；将所述网络控制设备的IP地址配置成VLAN1的IP地址，网络控制设备的网关IP地址配置为出口网关的IP地址；S3：向三层交换机出口网关连接三层交换机的端口发送ARP欺骗报文，使此端口存储的网关MAC地址成为网络控制设备的MAC地址；S4：通过所述网络控制设备的网关上安装的报文过滤驱动对网络设备上网进行控制。本方案能够避免因被控制电脑安装ARP防火墙或对网关进行ARP静态绑定后导致无法进行ARP欺骗而导致上网行为管理失效的情况。

技术领域

本发明涉及网络控制技术领域，尤其涉及一种控制多网段环境下网络设备上网行为的方法及系统。

背景技术

目前针对多网段环境下部署上网行为管理系统主要基于以下技术实现：

对于普通的网关(路由器、防火墙等网络设备)加非三层交换机的网络环境，采用ARP欺骗技术的上网行为管理软件，通常是在局域网一台电脑安装部署，然后向整个局域网发送ARP欺骗报文，使得局域网其他电脑将安装上网行为管理软件的电脑视为网关，并将网络报文发送到此电脑，这样上网行为管理软件通过在网卡哪里安装网络报文过滤驱动，就可以抓取局域网所有电脑的网络报文，经过处理之后转发到真正的网关，以此来实现对局域网电脑上网行为的管控。

但是，对于非三层交换机的网络环境，也就是网关加非三层交换机的网络环境，虽然通过ARP欺骗技术的上网行为管理软件可以实现对局域网电脑上网行为的管理，但如果被控制的电脑安装了ARP防火墙或对网关进行了ARP静态绑定的情况下，由于无法进行ARP欺骗而导致上网行为管理功能失效。

发明内容

有鉴于此，本发明要解决的技术问题是提供一种控制多网段环境下网络设备上网行为的方法及系统，能够避免因被控制电脑安装ARP防火墙或对网关进行ARP静态绑定后导致无法进行ARP欺骗而导致上网行为管理失效的情况。

本发明的技术方案是这样实现的：

一种控制多网段环境下网络设备上网行为的方法，包括以下步骤：

S1：在网络控制设备的网关上安装报文过滤驱动；

S2：将所述网络控制设备连接到三层交换机上联出口网关所在的网段VLAN1；将所述网络控制设备的IP地址配置成VLAN1的IP地址，网络控制设备的网关IP地址配置为出口网关的IP地址；

S3：向三层交换机出口网关连接三层交换机的端口发送ARP欺骗报文，使此端口存储的网关MAC地址成为网络控制设备的MAC地址；

S4：通过所述网络控制设备的网关上安装的报文过滤驱动对网络设备上网进行控制。

优选的，还包括：

预先在所述三层交换机上联出口网关上配置回指路由。

优选的，在所述S4之后，还包括：

向三层交换机出口网关连接三层交换机的端口发送网关ARP的正确报文。

优选的，还包括：

将运行过程中网络报文拦截日志以及上网行为管控情况写入数据库。

优选的，还包括：

在所述三层交换机上为网络控制设备开启SNMP访问权限，网络控制设备通过SNMP网管协议读取三层交换机所存储的各个网段网络设备的IP地址和MAC地址的对应关系，并将其列示到主机列表。

优选的，还包括：

创建监控网段，将三层交换机出口网关连接的三层交换机端口的IP地址和MAC地址填入所述监控网段中。