一種ip精確定位系統及方法

2023-04-30 15:14:01 1

一種ip精確定位系統及方法
【專利摘要】本發明公開了一種IP精確定位系統及方法。所述系統包括：準入控制模塊，獲取終端地址MAC與交換機埠，並將其與所述接入層交換機的標識WID、準入控制模塊標識SID形成對應關係信息MAC-PORT-WID-SID；將所述MAC-PORT-WID-SID傳送至管控中心；客戶端模塊，實時向代理模塊發送心跳信息；代理模塊，根據各個客戶端模塊傳輸的心跳信息管理各個終端的在線狀態，並實時將對應關係信息IP-MAC發送給管控中心模塊；管控中心模塊，從各個準入控制模塊獲取MAC-PORT-WID-SID，從代理模塊獲取IP-MAC，並將MAC-PORT-WID-SID和IP-MAC關聯存儲，形成五方在線數據。
【專利說明】一種IP精確定位系統及方法
【技術領域】
[0001]本發明涉及網絡接入管控和安全【技術領域】，尤其涉及一種IP請求定位系統及方法。
【背景技術】
[0002]乙太網的基礎TCP/IP協議是七層分層結構，7-1層自上而下，上層數據包封裝在下層數據包中，反之，上層數據包不包含下層屬性，如:三層數據包用IP封裝四層數據包的TCP，反過來，四層數據包僅包含本層的TCP屬性，而不包含三層的IP屬性；二層數據包用MAC封裝三層數據包的IP，而三層數據包僅有IP，並不包含二層的MAC信息。IP處於七層結構的三層，因此基於IP的網絡定位，只能在三層進行。現有網絡的接入層大部分是二層交換機，不支持三層數據轉發，即二層交換機不能處理IP數據包，因此IP定位不能在二層上實現，而網絡接入都是在接入層交換機上，因此接入設備的IP精確定位不能實現，這是現有技術的遺憾。
[0003]基於IP的全網定位，對網絡管理、數據源追蹤意義重大。

【發明內容】

[0004]本發明為解決現有技術中存在的對接入層網絡節點的精確定位和接入控制困難的問題，提出了一種IP精確定位系統及方法，其對於網絡管理、數據源追蹤、信息安全意義重大。
[0005]根據本發明一方面，其提供了一種IP精確定位系統，其包括:
[0006]準入控制模塊，用於從接入層交換機獲取終端地址MAC與交換機埠 PORT的對應關係信息，並將其與所述接入層交換機的標識WID關聯存儲，形成終端地址MAC、交換機埠 PORT、交換機標識WID和準入控制模塊的標識SID的對應關係信息MAC-PORT-WID-SID ；然後將所述對應關係信息MAC-PORT-WID-SID傳送至管控中心；
[0007]客戶端模塊，其實時向代理模塊發送心跳信息；所述心跳信息包括終端IP位址與MAC地址的對應關係信息IP-MAC ；
[0008]代理模塊，其用於根據各個客戶端模塊傳輸的心跳信息管理各個終端的在線狀態，並實時將所述對應關係信息IP-MAC發送給管控中心模塊；
[0009]管控中心模塊，用於從各個準入控制模塊獲取所述對應關係信息MAC-PORT-WID-SID,從各個代理模塊獲取所述對應關係信息IP-MAC，並根據其中的MAC地址將所述對應關係信息MAC-PORT-WID-SID和IP-MAC關聯，形成五方在線數據IP-MAC-P0RT-SID-WID。
[0010]其中，所述準入控制模塊與所述接入層交換機通過SNMP協議建立連接，並為與其建立連接的每個接入層交換機賦予唯一的標識WID。
[0011]其中，所述準入控制模塊通過SNMP輪詢和SNMP Trap的方式獲取終端地址MAC與交換機埠 PORT的對應關係信息。[0012]其中，所述代理模塊與所述準入控制模塊一一對應。
[0013]其中，所述客戶端模塊位於終端設備，用於終端設備的註冊、終端信息上傳、終端運行環境監測、響應代理模塊的指令和接收並展示代理模塊的通知。
[0014]其中，所述客戶端定期向代理模塊發送心跳信息，所述代理模塊檢測到所述心跳信息中的所述對應關係信息IP-MAC發生變化，則將變化信息發送至管控中心模塊。
[0015]其中，所述管控中心模塊配置各個準入控制模塊的信息，為其賦予唯一標識SID。
[0016]其中，所述管控中心模塊還接收IP精確定位請求，並根據所述IP精確定位請求中的IP位址，返回與該IP位址對應的五方在線數據。
[0017]根據本發明另一方面，其提供了一種IP精確定位方法，其包括
[0018]準入控制模塊從接入層交換機獲取終端地址MAC與交換機埠 PORT的對應關係信息，並將其與所述接入層交換機的標識WID關聯形成終端地址MAC、交換機埠 PORT、交換機標識WID和準入控制模塊的標識ID的對應關係信息MAC-PORT-WID-SID ;然後將所述對應關係信息MAC-PORT-WID-SID傳送至管控中心；
[0019]客戶端模塊發送心跳信息給代理模塊，所述心跳信息包括終端IP位址與MAC地址的對應關係信息IP-MAC ；
[0020]代理模塊接收所述心跳信息，並實時將所述對應關係信息IP-MAC發送給管控中心豐旲塊；
[0021]管控中心模塊根據從準入控制模塊獲取的所述對應關係信息MAC-PORT-WID-SID，從代理模塊獲取的所述對應關係信息IP-MAC，並根據其中的MAC地址將所述對應關係信息MAC-PORT-WID-SID 和 IP-MAC 關聯，形成五方在線數據 IP-MAC-P0RT-SID-WID。
[0022]該方法還包括:
[0023]管控中心模塊接收IP位址定位請求，所述IP位址定位請求包括待查詢IP位址；
[0024]管控中心模塊根據所述待查詢IP位址獲取並返回所述待查詢IP位址對應的五方在線數據。
[0025]依據本發明提供的上述系統和方法，能夠提供跨越三層網絡的IP精確定位，可以在全網範圍將IP位址的位置定位到接入層交換機物理埠，為網絡管理、數據源追蹤、信息安全提供強有力的手段和工具。
【專利附圖】

【附圖說明】
[0026]圖1是本發明中IP精確定位系統結構圖；
[0027]圖2是本發明中IP精確定位方法的流程圖。
【具體實施方式】
[0028]為使本發明的目的、技術方案和優點更加清楚明白，以下結合具體實施例，並參照附圖，對本發明作進一步的詳細說明。
[0029]TCP/IP協議的分層機制，使三層數據包中不包含二層信息，因此，經三層轉發的數據包的IP位址，只能大致的定位到IP範圍，不能精確定位到接入層埠。而對於接入管理和信息安全的信息源頭定位和追蹤，二層精確定位是十分有價值的。全網IP精確定位是長期困擾業界的難題，通過本發明可以有效解決這一問題。[0030]圖1示出了本發明提出的一種IP精確定位系統的結構及運行原理示意圖。如圖1所示，該系統包括:
[0031 ] 準入控制模塊SEAD，用於從接入層交換機獲取終端地址MAC-交換機埠 PORT的對應關係信息(MAC-PORT)，即獲取接入到所述接入層交換機各個埠上的終端MAC地址，並將其與所述接入層交換機的標識WID關聯，形成終端地址MAC-交換機埠 PORT-交換機標識WID對應關係(MAC-PORT-WID-SID)，SID是SEAD的ID號；所述MAC-PORT信息包括:所述接入層交換機各個埠號、接入相應埠的終端設備的MAC地址；所述MAC-P0RT-WID信息包括:所述接入層交換機各個埠、接入相應埠的終端設備的MAC地址、接入層交換機標識WID ;所述準入控制模塊還用於將MAC-P0RT-WID信息傳送至管控中心；其中，所述SEAD對交換機輪詢，獲得的交換機上的MAC-PORT數據，一旦該數據發生變化，即將變化部分發送給管控中心。
[0032]客戶端模塊Client，基於預定周期定期向代理模塊發送心跳信息，以表明其在線狀態；所述心跳信息包括終端IP位址-MAC地址的對應信息(IP-MAC);該IP-MAC數掘是經MAC保護的，IP為終端當前使用的IP，MAC為發送心跳終端的網卡物琿MAC。
[0033]代理模塊PROXY，其用於根據各個客戶端模塊傳輸的心跳信息管理各個客戶端的在線狀態，並實時將所述心跳信息中終端IP位址-MAC地址對應信息發送給管控中心模塊；
[0034]管控中心模塊MCC，用於從各個準入控制模塊SEAD獲取MAC-PORT-WID-SID信息；其還從各個代理模塊獲取各個終端IP位址-MAC地址對應信息，並根據所述MAC地址將所述終端地址MAC-交換機埠 PORT-交換機標識WID和終端IP位址對應關聯，形成五方在線數據 IP-MAC-P0RT-SID-WID。
[0035]該系統中，所述準入控制模塊SEAD邏輯上位於接入交換機和管控中心MCC之間，物理上可以位於網絡中IP可達的任何位置，其主要用於控制接入層交換機，並獲得所管控的接入層交換機的埠上的終端設備的網絡接入狀態。
[0036]所述準入控制模塊SEAD首先通過SNMP協議與接入層交換機建立通訊，並為接入層交換機賦予唯一的標識WID，通過設置通訊協議將SEAD註冊到MCC，建立SEAD到MCC的通訊，MCC賦予SEAD唯一標識SID ；
[0037]之後其通過接入層交換機採集終端設備的信息，如終端設備的地址MAC及其對應的交換機埠 PORT等；其採集方式可採用SNMP輪詢和SNMP的Trap的方式，其將採集到的數據包括接入層交換機的唯一標識WID、
[0038]接入層交換機的埠 PORT以及接入至相應埠的終端設備的MAC地址的對應信息寫入資料庫，並更新時間戳。
[0039]所述準入控制模塊實時將所存儲的接入層交換機的唯一標識WID、接入層交換機的埠地址PORT以及接入至相應埠的終端設備的MAC地址的對應信息發送給管控中心。
[0040]所述客戶端模塊位於終端設備，主要用於終端設備的註冊、終端信息上傳、終端運行環境檢測(系統帳戶弱口令，違規外聯，第三方安全軟體運行狀況等)、響應代理模塊的指令、接收並展示代理模塊的通知等。在本發明的技術方案中，其定期向代理模塊發送心跳信息，以表明其當前的在線狀態，所述心跳信息包括所述客戶端模塊所在終端設備的IP位址以及MAC地址。[0041]所述代理模塊主要為所述客戶端模塊服務，與SEAD是一一對應關係，並與SEAD處於相同位置，物理上可以處於同一設備上，用於維護客戶端模塊的認證數據，接收客戶端模塊的心跳信息，維持終端設備在線狀態，下發指定策略和通知，響應終端設備異常情況等功能。MCC處於單獨的伺服器設備上，配置不同於SEAD的獨立IP位址。
[0042]所述代理模塊還接受客戶端模塊的註冊信息，包括客戶端模塊所在終端設備的MAC地址、IP位址等信息；其還接受客戶端模塊的心跳信息，並根據心跳信息維護所述客戶端的在線狀態。若預定期限內未接收到客戶端模塊的心跳信息，則將該客戶端模塊置為離線狀態。
[0043]所述代理模塊還將從客戶端模塊獲取的IP位址與MAC地址的對應信息同步到管控中心模塊，代理模塊實時接收客戶端心跳數據，獲得終端上IP-MAC對應關係，數據一旦發生變化，即將變化部分發送給管控中心。
[0044]所述管控中心模塊，用於配置各個準入控制模塊SEAD的信息，包括其唯一標識SID和IP位址，並接收各個準入控制模塊SEAD發送的終端MAC-P0RT-WID ；同時接收代理模塊發送的終端IP-MAC信息，以MAC地址為主鍵關聯上述信息，形成包括終端IP-終端MAC-交換機埠 PORT-交換機標識WID-準入控制模塊標識SID的五方在線數據。
[0045]所述管控中心模塊依據五方在線數據實現IP精確定位功能，當向管控中心模塊發送請求IP定位信息後，管控中心模塊返回該IP位址對應的五方在線數據中對應的記錄。IP定位請求可以在MCC的界面上輸入，也可以通過數據接口從其它系統獲得。
[0046]圖2示出了本發明提出的一種IP精確定位方法的流程圖。如圖2所示，其包括:
[0047]準入控制模塊獲取接入層交換機上的終端MAC地址及相應的交換機埠 PORT，並將其與所述接入層交換機的標識信息WID發送給管控中心模塊；
[0048]客戶端模塊發送心跳信息給代理模塊，所述心跳信息包括客戶端模塊所在終端IP位址和MAC地址；
[0049]代理模塊接收所述心跳信息，並將其發送至管控中心模塊；
[0050]管控中心模塊根據從準入控制模塊獲取的所述對應關係信息MAC-PORT-WID-SID，從代理模塊獲取的所述對應關係信息IP-MAC，並根據其中的MAC地址將所述對應關係信息MAC-PORT-WID-SID和IP-MAC關聯，形成五方在線數據IP-MAC-PORT-SID-WID，並根據接收到的IP位址從所述五方在線數據提取該IP位址對應的終端設備的精確位置信息。
[0051]上述方法還包括:
[0052]管控中心模塊接收IP位址定位請求，所述IP位址定位請求包括所要查詢的IP位址；
[0053]管控中心模塊根據所述IP位址查詢所述五方在線數據表，並將該IP位址對應的五方在線數據返回。
[0054]本發明通過上述定位方法可以獲得該IP位址完整的精確定位信息，該IP位於編號為SID的SEAD下、編號為WID的交換機上、埠號為POTR的埠上；
[0055]其中的WID為交換機ID號，可以通過交換機配置數據轉化為交換機的管理IP位址；交換機的IP位址是在系統初始化過程中輸入的，在SEAD上存儲並同步發送給MCC。
[0056]通過本發明提出的上述方法獲得所述IP位址的精確定位信息後，可以將其中的PORT作為關閉交換機埠參數經SNMP發給編號為WID的交換機管理IP位址，以切斷該IP的網絡連接。
[0057]以上所述的具體實施例，對本發明的目的、技術方案和有益效果進行了進一步詳細說明，應理解的是，以上所述僅為本發明的具體實施例而已，並不用於限制本發明，凡在本發明的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本發明的保護範圍之內。
【權利要求】
1.一種IP精確定位系統，其包括: 準入控制模塊，用於從接入層交換機獲取終端地址MAC與交換機埠 PORT的對應關係信息，並將其與所述接入層交換機的標識WID關聯存儲，形成終端地址MAC、交換機埠PORT、交換機標識WID和準入控制模塊的標識SID的對應關係信息MAC-PORT-WID-SID ;然後將所述對應關係信息MAC-PORT-WID-SID傳送至管控中心； 客戶端模塊，其實時向代理模塊發送心跳信息；所述心跳信息包括終端IP位址與MAC地址的對應關係信息IP-MAC ； 代理模塊，其用於根據各個客戶端模塊傳輸的心跳信息管理各個終端的在線狀態，並實時將所述對應關係信息IP-MAC發送給管控中心模塊； 管控中心模塊，用於從各個準入控制模塊獲取所述對應關係信息MAC-PORT-WID-SID，從各個代理模塊獲取所述對應關係信息IP-MAC，並根據其中的MAC地址將所述對應關係信息 MAC-PORT-WID-SID 和 IP-MAC 關聯，形成五方在線數據 IP-MAC-PORT-SID-WID。
2.如權利要求1所述的系統，其中，所述準入控制模塊與所述接入層交換機通過SNMP協議建立連接，並為與其建立連接的每個接入層交換機賦予唯一的標識WID。
3.如權利要求1所述的系統，其中，所述準入控制模塊通過SNMP輪詢和SNMPTrap的方式獲取終端地址MAC與交換機埠 PORT的對應關係信息。
4.如權利要 求1所述的系統，其中，所述代理模塊與所述準入控制模塊一一對應。
5.如權利要求1所述的系統，其中，所述客戶端模塊位於終端設備，用於終端設備的註冊、終端信息上傳、終端運行環境監測、響應代理模塊的指令和接收並展示代理模塊的通知。
6.如權利要求1所述的系統，其中，所述客戶端定期向代理模塊發送心跳信息，所述代理模塊檢測到所述心跳信息中的所述對應關係信息IP-MAC發生變化，則將變化信息發送至管控中心模塊。
7.如權利要求1所述的系統，其中，所述管控中心模塊配置各個準入控制模塊的信息，為其賦予唯一標識SID。
8.如權利要求1所述的系統，其中，所述管控中心模塊還接收IP精確定位請求，並根據所述IP精確定位請求中的IP位址，返回與該IP位址對應的五方在線數據。
9.一種IP精確定位方法，其包括: 準入控制模塊從接入層交換機獲取終端地址MAC與交換機埠 PORT的對應關係信息，並將其與所述接入層交換機的標識WID關聯形成終端地址MAC、交換機埠 PORT、交換機標識WID和準入控制模塊的標識SID的對應關係信息MAC-PORT-WID-SID ;然後將所述對應關係信息MAC-PORT-WID-SID傳送至管控中心； 客戶端模塊發送心跳信息給代理模塊，所述心跳信息包括終端IP位址與MAC地址的對應關係信息IP-MAC ； 代理模塊接收所述心跳信息，並實時將所述對應關係信息IP-MAC發送給管控中心模塊； 管控中心模塊根據從準入控制模塊獲取的所述對應關係信息MAC-PORT-WID-SID，從代理模塊獲取的所述對應關係信息IP-MAC，並根據其中的MAC地址將所述對應關係信息MAC-PORT-WID-SID 和 IP-MAC 關聯，形成五方在線數據 IP-MAC-PORT-SID-WID。
10.如權利要求9所述的方法，其還包括: 管控中心模塊接收IP位址定位請求，所述IP位址定位請求包括待查詢IP位址； 管控中心模塊根據所述待查詢IP位址獲取並返回所述待查詢IP位址對應的五方在線數據，其中包含待查詢IP位址對應的交換機埠號PORT，該埠號即為查詢IP的定位結果，所述五方在線數據中所述待查詢IP對應的記錄中包含WID-P0RT，據此控制交換機關閉所述待查詢IP位址 對應的網絡埠。
【文檔編號】H04L29/06GK103973499SQ201410222683
【公開日】2014年8月6日 申請日期:2014年5月23日 優先權日:2014年5月23日
【發明者】劉建兵, 薛鋒 申請人:劉建兵, 薛鋒