[发明专利]一种基于VLAN切换的终端准入控制方法

权利要求书

1.一种基于VLAN切换的终端准入控制方法，其特征在于：包括如下步骤：

步骤一：将服务器连接到管控网络，需要两个网口连接：一个业务管理口，提供可以正常访问的ip地址；一个连接到交换机的trunk口；

步骤二：在服务器添加交换机的连接信息；

步骤三：服务器通过配置的连接信息连接交换机，并对交换机进行配置；

步骤四：交换机发现mac地址上线后，服务器立即将mac地址所在的端口切换至隔离VLAN，阻断其对网络的正常访问；

步骤五：隔离区的终端用户进行网络访问时，由于处于隔离VLAN，与正常网络相互不通，数据包会通过trunk口一路传输到服务器连接的trunk口上，服务器可以接收到该数据包；对于arp请求、dns请求转发至正常VLAN；对于http的网络请求，将访问地址重定向到服务器，引导隔离区终端用户进行网络认证；

步骤六：隔离区终端用户从服务器下载软件安装并进行系统修复通过安全检查后，服务器将该终端用户所在的交换机端口切换至合法VLAN，后续该终端用户可以正常访问网络。

2.根据权利要求1所述的一种基于VLAN切换的终端准入控制方法，其特征在于：所述步骤二中的连接信息具体是指telnet或ssh连接信息。

3.根据权利要求1所述的一种基于VLAN切换的终端准入控制方法，其特征在于：所述步骤三中对交换机进行配置的信息包括交换机厂商、登录方式、ip地址、端口号、用户名、密码、高级密码，通过配置的信息，服务器可以采用对应的连接方式连接交换机下发控制命令。

4.根据权利要求1所述的一种基于VLAN切换的终端准入控制方法，其特征在于：所述步骤四中交换机通过mac-trap和定时轮询的方式发现mac地址上线。

5.根据权利要求4所述的一种基于VLAN切换的终端准入控制方法，其特征在于：所述步骤四中交换机发现mac地址上线后，交换机向服务器发送mac-trap信息，服务器通过发送trap的ip地址查找配置连接的交换机，通过该配置的信息连接交换机，然后依据trap消息中的端口和mac地址信息对交换机的对应端口进行VLAN切换，将该端口切换至隔离VLAN。

6.根据权利要求1所述的一种基于VLAN切换的终端准入控制方法，其特征在于：所述步骤五中服务器通过trunk口获取到的数据包为802.1Q数据包，802.1Q数据包中包括12位的虚拟局域网识别符VID，虚拟局域网识别符VID标记了该数据包所在的VLAN，准入系统中通过mac地址关联了隔离VLAN和正常VLAN，如果数据包中源mac地址为隔离mac且VID为隔离VLAN，说明该数据包为隔离VLAN发出的请求数据包；如果数据包的目的mac地址为隔离mac且VID为正常VLAN，说明该数据包为到隔离VLAN的响应数据包；对于需要放行的请求包，将数据包中的VID字段修改为正常VLAN的id，然后将修改后的数据包通过trunk口发出；对于需要放行的响应包，将数据包中的VID字段修改为隔离VLAN的id，然后将修改后的数据包通过trunk口发出；通过服务器的转发，实现了隔离VLAN和正常VLAN之间有限的数据通信。