(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211007959.9 (22)申请日 2022.08.22 (71)申请人 中通服咨询设计 研究院有限公司 地址 210019 江苏省南京市 建邺区楠溪江 东街58号 (72)发明人 杨基明　严正侃　马燕茹　周玥丹　 吴平　朱建　 (74)专利代理 机构 江苏圣典律师事务所 32 237 专利代理师 于瀚文　胡建华 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/46(2006.01) H04L 41/0213(2022.01) H04L 61/103(2022.01) H04L 61/5007(2022.01)H04L 67/02(2022.01) H04L 101/622(2022.01) (54)发明名称 一种实现远程对局域网IP终端接入准入管 理的控制方法 (57)摘要 本发明提供了一种实现远程对局域网IP终 端接入准入管理的控制方法， 包括以下步骤： 步 骤1， 按照分区的方式对网络进行设计； 步骤2， IP 终端按照设备类型、 功能服务定位或者访问特点 划分到不同的分区网络； 步骤3， 配置各个分区网 络的网关VLANIF地址； 步骤4， 开启SNMP服务， 配 置读写权限， 将连接SNMP的目标主机地址指向接 口程序服务器地址； 步骤5， 将所有 规划用于IP终 端的IP地址与虚拟的MAC地址进行捆绑； 步骤6， 在局域网中需要 新接入IP终端时， 将需要接入的 IP终端设备的MA C信息表报给网络 管理员进行审 批。 本发明实现方法特别适用分支机构网络节点 较多的企业， 能够有效提高网络安全。 权利要求书1页 说明书4页 附图2页 CN 115499167 A 2022.12.20 CN 115499167 A 1.一种实现远程对局域网IP终端接入准入管理的控制方法， 其特征在于， 包括以下步 骤： 步骤1， 局域网络按照分区的方式对网络进行设计， 单个分区内IP终端间无业务数据访 问需求； 局域网内业 务数据访问流 量均需要在分区间进行转发； 步骤2， IP终端按照设备类型、 功能服务定位或者访问特点划分到不同的分区网络， 即 虚拟局域网VLAN当中， 并为 不同的分区规划不同的IP网段； 步骤3， 在局域网出口交换机上配置各个分区网络的网关VLANIF地址， 对于未启用的IP 网段， 局域网出口交换机上不能提前配置网关地址； 步骤4， 在局域网出口交换机上， 开启SNMP服务， 配置读写权限， 并将连接SNMP的目标主 机地址指向接口程序服 务器地址； 步骤5， 通过SNMP协议将所有规划用于IP终端的IP地址与虚拟的MAC地址进行捆绑， 并 以静态ARP表项的方式通过接口程序写入到局域网交换机的ARP静态 表项中； 步骤6， 在局域网中需要新接入IP终端时， 必须将需要接入的IP终端设备的MAC信息表 报给网络管理员进 行审批， 审批通过后分配相应的IP地址， 并需要将IP和MAC映射关系通过 接口程序以SNMP协议 为承载写入到局域网出口交换机的ARP静态 表项中。 2.根据权利要求1所述的方法， 其特征在于， 步骤1中， 局域网络至少划分为两个网络分 区， 其中业务数据访问流量需要出局 域网的设备划分为一个分区， 业务数据访问流量不需 要出局域网的设备划分为 一个分区或者两个以上分区。 3.根据权利要求2所述的方法， 其特征在于， 步骤2中， 如果局域网内包括数据库服务 器、 WEB服务器、 应用服务器， 访问需求为： WEB服务器访问应用服务器， 应用服务器访问数据 库服务器， 同类 设备划分到一个V LAN当中， 即数据库服务器、 WEB服务器、 应用服务器需要划 分到不同的VLAN当中， 分配不同的网段地址 。 4.根据权利要求3所述的方法， 其特征在于， 步骤6中， 通过网络管理员审批， 将IP ‑MAC 映射关系通过接口程序以SNMP协议为承载写入到局域网出口交换机的ARP静态表项中后， IP终端才能在局域网 网络中或者出局域网进行正常通信。 5.根据权利 要求4所述的方法， 其特征在于， 步骤6中， 如果私自接入IP终端， 因为ARP表 项冲突或者 缺少网关地址将无法通信。 6.根据权利要求5所述的方法， 其特征在于， 步骤6中， 如果直接使用规划的IP地址段内 地址， 新的IP终端的在数据访问时， 回程访问在进行ARP请求新的IP终端 时， 因当前分配的 IP地址已捆绑了虚拟MAC地址， 造成冲突， 无法通信。 7.根据权利要求6所述的方法， 其特征在于， 步骤6中， 如果使用未启用的IP地址段内地 址， 因在局域网出口交换机上缺少网关地址， 将无法通信。权　利　要　求　书 1/1 页 2 CN 115499167 A 2一种实现远 程对局域网IP终端接入准入管理的控制方 法 技术领域 [0001]本发明涉及IP网技术领域， 尤其涉及一种实现远程对局域网IP终端接入准入管理 的控制方法。 背景技术 [0002]在企业分支机构网络节点众多， 或者分支机构地处偏远， 不能安排网络管理人员 常驻现场时， 分支机构内部局域网网络中的IP终端设备 的接入一般缺少有效的准入管理， 在网络管理人员不知情的情况下， 可能会新接入未经审批的IP终端设备， 此种情况下会给 企业网络带来一定的安全风险隐患。 应有技术化的手段实现对各分支机构局域网络中的接 入的IP终端实现准入管理。 当前市面上有针对终端的准入接入的实现方案， 如采用raduis 方式， 但管 理的终端类型较为单一， 主要 是用户的P C终端。 也有采用在网络中部署 探针进行 扫描， 通过事后对比的方式实现准入管理， 但时效性差， 且需要部署软探针或者硬探针设 备， 在需要部署到分支机构局域网数据较多时， 需要较大的投资代价。 发明内容 [0003]发明目的： 本发明所要解决的技术问题是针对现有技术的不足， 提供一种基于 SNMP协议实现远程对局域网IP终端接入准入管理的控制方法， 以对各类IP终端设备(无论 是服务局限在局 域网内的私网IP设备或者是需要向局 域网外提供服务的外网或者企业内 网IP设备)实现网络 接入准入管理， 以保障网络安全。 本发明方法具体包括如下步骤： [0004]步骤1， 局域网络按照分区的方式对网络进行设计， 单个分区内IP终端间无业务数 据访问需求； 局域网内业 务数据访问流 量均需要在分区间进行转发； [0005]步骤2， IP终端按照设备类型、 功能服务定位或者访问特点划分到不同的分区网 络， 即虚拟局域网VLAN(Virtual  Local Area Network)当中， 并为不同的分区规划不同的 IP网段； [0006]步骤3， 在局域网出口交换机上配置各个分区网络的网关VLANIF(VLAN接口， 为逻 辑接口)地址， 对于未启用的IP网段， 局域网出口交换机上不能提前配置网关地址； [0007]步骤4， 在局域网出口交换机上， 开启S NMP服务， 配置读写权限， 并将连接SNMP的目 标主机地址指向接口程序服 务器地址 。 [0008]步骤5， 通过S NMP协议将所有规划用于IP终端的IP地址与虚拟的MAC地址进行捆绑 (如虚拟MAC地址： 1111 ‑2222‑3333)， 并以静态ARP表项的方式通过接口程序写入到局域网 交换机的ARP静态 表项中； [0009]步骤6， 在局域网中需要新接入IP终端时， 必须将需要接入的IP终端设备的MAC信 息表报给网络管 理员进行审 批， 审批通过后分配相应的IP地址， 并需要将IP和MAC映射关系 通过接口程序以SNMP协议 为承载写入到局域网出口交换机的ARP静态 表项中； [0010]步骤1中， 网络分区划 分的总体原则是需要控制业务数据访问流量在不 同分区间 转发。 一般局 域网络至少可以划分为两个网络分区， 其中业务数据访问流量需要出局 域网说　明　书 1/4 页 3 CN 115499167 A 3