[发明专利]一种网络接入控制方法、装置、电子设备及存储介质

说明书

本发明实施例提供一种网络接入控制方法、装置、电子设备及存储介质。该方法包括：接收终端发送的待处理报文，确定待处理报文对应的源MAC地址和源IP地址；查找已安装的MAC地址表项中存在源MAC地址，则获取源MAC地址对应的第一终端标识；查找已安装的静态ARP地址表项中存在源IP地址，则获取源IP地址对应的第二终端标识；根据ACL表项，判断第一终端标识与所述第二终端标识是否相同，若相同，则放行待处理报文。本发明实施例通过对比报文的源MAC地址对应的终端标识和源IP地址对应的终端标识，判断报文是否合法，避免因终端行为频繁变动导致添删ACL表项造成的设备性能下降问题，提升了终端并发上线容量性能。

技术领域

本发明实施例涉及通信技术领域，具体涉及一种网络接入控制方法、装置、电子设备及存储介质。

背景技术

网络接入控制(Network Admission Control，NAC)是多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC，用户可以只允许合法的、值得信任的端点设备，例如个人计算机(Personal Computer，PC)、服务端、掌上电脑(Personal Digital Assistant，PDA)接入网络，而不允许其他设备接入。

当前，在交换机系统上，传统的NAC技术实现包括：动态主机配置协议安全特性窥探(Dynamic Host Configuration Protocol Snooping，DHCP Snooping)、全局网际互连协议(Internet Protocol，IP)+介质访问控制层(Media Access Control，MAC)绑定、端口安全、802.1x认证、安全通道、IP源地址保护(IP Source Guard)和地址解析协议检查(Address Resolution Protocol Check，ARP Check)等。其中，在办公网场景，DHCPSnooping和IP Source Guard的技术部署较为常见，DHCP Snooping记录生成的用户数据表项为IP Source Guard提供安全应用服务，实现一种简单适用的终端用户上线方案。

DHCP Snooping：通过对客户端Client和服务器之间的DHCP交互报文进行窥探实现对用户IP地址使用情况的记录和监控，同时还可过滤非法DHCP报文，包括客户端的请求报文和服务端的响应报文。

IP Source Guard：通过IP Source Guard绑定功能，可以通过硬件对IP报文进行过滤，从而保证只有IP报文硬件过滤数据库中存在对应信息的用户才能正常使用网络，防止了用户私设IP地址以及伪造IP报文。

DHCP Snooping和IP Source Guard接入控制安全技术在交换机的实现过程包括：DHCP Snooping监听终端向DHCP服务器申请IP之间的协议报文，当终端获得合法IP地址后，生成DHCP Snooping Table记录表，一条记录包括IP、MAC、租约时间、端口、虚拟局域网(Virtual Local Area Network，VLAN)、类型等信息。IP Source Guard以DHCP源绑定表(DHCP Binding Table)作为用户安全信息来源，向硬件交换芯片下发接入控制列表项(Access Control List，ACL)过滤非法报文。该ACL表项以IP和MAC作为关键匹配点，IP报文必须MAC地址和IP全部匹配才能放行，起到了防止用户私设IP地址及伪造IP报文等非法情况。

在该终端上线方案中，一个终端涉及的硬件表项包括：动态MAC地址、动态ARP表项和ACL表项。主要存在两个问题：

1、终端上线后下发表项至硬件，由于DHCP Snooping表项的租约时间较长，一般配置为4个小时，ARP表项老化时间一般为1个小时，MAC地址老化时间一般为5分钟，若在短时间内，有大量终端上线又下线，则会存在大量表项残留情况，影响新终端用户上线。