CN109617972A - 一种连接建立方法、装置、电子设备及存储介质 - Google Patents
一种连接建立方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN109617972A CN109617972A CN201811541569.3A CN201811541569A CN109617972A CN 109617972 A CN109617972 A CN 109617972A CN 201811541569 A CN201811541569 A CN 201811541569A CN 109617972 A CN109617972 A CN 109617972A
- Authority
- CN
- China
- Prior art keywords
- terminal
- port
- switching equipment
- forwarding
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请实施例提供了一种连接建立方法、装置、电子设备及存储介质。方案如下:可以检测交换设备是否存在第一端口,其中,第一端口接收到第一终端的连接请求,若存在第一端口,则对第一终端进行扫描,得到第一终端的终端信息,并根据终端信息,确定第一终端是否合法,如果第一终端合法,则与第一终端建立连接。通过本申请实施例提供的方案,可以在端点探测过程中,将对终端进行扫描的功能部署在网络中原有的交换设备上,不必额外部署扫描服务器,降低了网络部署成本以及网络管理难度。另外,交换设备可以直接对终端进行扫描,打破了将扫描指令通过整个网络传输到终端才能对终端进行扫描的局限性,提高了扫描的效率。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种连接建立方法、***、装置、电子设备及存储介质。
背景技术
网络中遍布各种类型的端点,例如摄像头、PC(Personal Computer,个人计算机)、交换机、服务器、路由器、防火墙、AP(Wireless Access Point,无线接入点)、打印机、ATM(Automatic Teller Machine,自动取款机)等。为了对网络中的端点进行管理,端点探测***应运而生。所谓端点探测***是通过对网络中的各端点进行扫描,并根据扫描结果对端点连接的终端进行识别,对终端接入网络进行监控以及管理。
目前,端点探测***由扫描服务器、IMC(Intelligent Management Center,智能管理中心)EPS(Endpoints Profiling System,端点探测***)服务器以及终端构成。端点探测过程,由IMC EPS服务器向扫描服务器下发扫描指令,扫描服务器在接收到扫描指令后,通过交换设备将扫描指令发送给终端,实现对终端的扫描,获得扫描结果,并将扫描结果反馈给IMC EPS服务器,IMC EPS服务器通过对扫描结果进行基线对比、变更审核等操作,实现对网络中各终端识别,实时对终端接入网络进行监控和管理。
在大型监控网络中,会划分多个监控区域。每个监控区域中安装一个或多个扫描服务器。因而随着监控区域的增多,需要安装的扫描服务器的数量随之增多,这增加了网络部署成本,以及增加了网络管理难度。另外,由于扫描指令需要经过IMC EPS服务器、扫描服务器和交换设备才能到达终端,也就是扫描指令需要经过整个网络才能到达终端,降低了扫描的效率。
发明内容
本申请实施例的目的在于提供一种连接建立方法、装置、电子设备及存储介质,以提高端点探测过程中终端扫描效率,降低网络部署成本以及网络管理难度。具体技术方案如下:
本申请实施例提供了一种连接建立方法,应用于交换设备,所述方法包括:
检测所述交换设备是否存在第一端口,所述第一端口为接收到第一终端发送的连接请求的端口;
若存在,则对所述第一终端进行扫描,得到所述第一终端的终端信息;
根据所述终端信息,确定所述第一终端是否合法;
如果所述第一终端合法,则与所述第一终端建立连接。
本申请实施例还提供了一种连接建立装置,应用于交换设备,所述装置包括:
检测模块,用于检测所述交换设备是否存在第一端口,所述第一端口为接收到第一终端发送的连接请求的端口;
获取模块,用于在检测模块的检测结果为是的情况下,对所述第一终端进行扫描,得到所述第一终端的终端信息;
确定模块,用于根据所述终端信息,确定所述第一终端是否合法;
建立模块,用于若确定所述第一终端合法,则与所述第一终端建立连接。
本申请实施例还提供了一种电子设备,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一所述的连接建立方法步骤。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一所述的连接建立方法步骤。
本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一所述的连接建立方法。
本申请实施例提供的一种连接建立方法、装置、电子设备及存储介质,可以检测交换设备是否存在第一端口,第一端口接收到第一终端的连接请求,若存在,则对第一终端进行扫描,得到第一终端的终端信息,根据终端信息,确定第一终端是否合法,如果第一终端合法,则与第一终端建立连接。通过本申请实施例提供的方法,可以在端点探测过程中,将对终端进行扫描的功能部署在了网络中原有的交换设备上,不必额外部署扫描服务器,降低了网络部署成本以及网络管理难度。另外,交换设备可以直接对终端进行扫描,打破了将扫描指令通过整个网络传输到终端才能对终端进行扫描的局限性,提高了扫描的效率。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有端点探测***的一种结构示意图;
图2为本申请实施例提供的端点探测***的一种结构示意图;
图3为本申请实施例提供的连接建立方法的一种流程图;
图4为本申请明实施例提供的连接建立装置的一种结构示意图;
图5为本申请实施例提供的电子设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1,图1为现有端点探测***的一种结构示意图。该***包括扫描服务器,IMC EPS服务器,交换设备和终端。其中,终端包括设备1、2、3、4、5。交换机1、2与区域网关交换机可统称为交换设备,该交换设备应用于端点探测***。四个扫描服务器分别与四个区域网关交换机一一对应。以A区域扫描服务器以及对应的A区域网关交换机为例,对端点探测过程,也就是终端接入网络的过程进行说明。具体的,A区域扫描服务器在接收到IMC EPS服务器发送的扫描指令后,将该扫描指令下发到与A区域网关交换机连接的设备1上,并对设备1进行扫描,完成对设备1的识别,并实时对设备1接入网络进行监控和管理。由于每一区域需要部署对应的扫描服务器,使得网络部署成本较高,网络管理难度较大。另外,由于扫描指令需要经过整个网络才能到达终端,扫描效率较低。
为提高端点探测过程中终端扫描效率,降低网络部署成本以及网络管理难度,本申请实施例提供了一种端点探测***,如图2所示,该***包括:IMC EPS服务器100、网关交换机104-105、汇聚交换机102-103和核心交换机101。其中,网关交换机104-105、汇聚交换机102-103和核心交换机101可统称为交换设备。本申请实施例中,可将扫描功能集成在网关交换机104-105、或汇聚交换机102-103、或核心交换机101上。为进一步提高端点探测过程中终端扫描效率,可将扫描功能集成在网关交换机104-105上,IMC EPS服务器100可以通过网关交换机104-105对终端106-109进行监控和管理等。
基于图2所示的端点探测***,本申请实施例提供了一种连接建立方法,应用于交换设备,该交换设备包括但不限于交换机和路由器。该方法中,交换设备检测交换设备是否存在第一端口,其中,第一端口为接收到第一终端的连接请求的端口。若存在第一端口,则交换设备对第一终端进行扫描,得到第一终端的终端信息,并根据终端信息,确定第一终端是否合法。如果第一终端合法,则交换设备与第一终端建立连接。
通过本申请实施例提供的方法,可以在端点探测过程中,将对终端进行扫描的功能部署在了网络中原有的交换设备上,不必额外部署扫描服务器,降低了网络部署成本以及网络管理难度。另外,交换设备可以直接对终端进行扫描,打破了将扫描指令通过整个网络传输到终端才能对终端进行扫描的局限性,提高了扫描的效率。
参见图3,图3为本申请实施例提供的连接建立方法的一种流程图。该方法应用于交换设备,具体包括以下步骤。
步骤S301,检测交换设备是否存在第一端口,第一端口为接收到第一终端发送的连接请求端口。若交换设备中存在第一端口,则执行步骤S302。
在本步骤中,交换设备上可以包括一个或多个端口,交换设备通过对交换设备的每一端口进行扫描,确定该交换设备包括的端口中是否存在第一端口。第一端口为接收到第一终端发送的连接请求的端口。第一端口可以为接收到第一终端发送的连接请求并与第一终端建立连接的端口,也可以为接收到第一终端发送的连接请求但未与第一终端建立连接的端口。
一个可选的实施例中,交换设备上的端口分为关闭状态和开启状态。若交换设备的端口状态为DOWN(向下)状态,则交换设备的端口为关闭状态。若交换设备的端口状态为UP(向上)状态,则交换设备的端口为开启状态。例如,交换设备的第一端口未接收到第一终端的连接请求前,第一端口的状态为DOWN状态。交换设备若通过第一端口接收第一终端发送的连接请求。交换设备根据该连接请求,可以将第一端口的状态调整为UP状态。交换设备若通过第一端口接收到第一终端发送的中断连接请求。交换设备根据该中断连接请求,可以切断第一端口与第一终端的连接,并将第一端口的状态设置为DOWN状态。
另一个可选的实施例中,交换设备通过第一端口接收第一终端发送的连接请求。交换设备根据该连接请求,可以在交换设备的转发表中增加第一端口对应的转发表项,作为第一转发表项。第一转发表项中包括交换设备的第一端口的端口信息。
在本发明的一个实施例中,上述转发表包括但不限于交换设备中的MAC(MediaAccess Control,媒体访问控制)/IP(Internet Protocol,互联网协议)表,上述第一转发表项中包括第一端口连接的第一终端的MAC地址/IP地址。
上述交换设备的端口设置为开启状态的现象,以及在转发表中添加第一转发表项的现象,属于第一端口接收到第一终端的连接请求时的两种表现形式。例如,交换设备的一端口在未接收到第一终端发送的连接请求时,该端口的状态为关闭状态。一旦该端口接收到第一终端的发送的连接请求,则该交换设备可以自动将该端口的状态由关闭状态调整为开启状态。再例如,交换设备的一端口在未接收到第一终端发送的连接请求时,该交换设备的转发表中将不会有该端口对应的转发表项。一旦该端口接收到第一终端发送的连接请求,则该交换设备可以自动在转发表中添加该端口对应的转发表项。在本申请实施例中,对交换设备的各端口接收到连接请求时的表现形式不作具体限定。
步骤S302,对第一终端进行扫描,得到第一终端的终端信息。
在本步骤中,若交换设备的至少一个端口存在第一端口时,交换设备可对该第一终端进行扫描,得到第一终端的终端信息。终端信息包括但不限于第一终端的终端类型以及MAC地址。
在本申请实施例中,根据步骤S301,若交换设备检测到该交换设备的至少一个端口存在第一端口,则交换设备对第一终端进行扫描,不必额外部署扫描服务器,降低了网络部署成本以及网络管理难度。另外,交换设备可以直接对终端进行扫描,打破了将扫描指令通过整个网络传输到终端才能对终端进行扫描的局限性,提高了扫描的效率。
在本申请实施例中,交换设备上的第一端口可有多个。交换设备对多个第一端口对应的第一终端进行扫描,可实现IMC EPS服务器对终端进行实时监控和管理。
步骤S303,根据终端信息,确定第一终端是否合法。若确定合法,则执行步骤S304。
在本步骤中,交换设备可以根据第一终端的终端信息,确定第一终端是否合法。
一个可选的实施例中,交换设备将终端信息发送给IMC EPS服务器。IMC EPS服务器对该终端信息进行认证,得到认证结果,并将认证结果发送给交换设备。交换设备接收IMC EPS服务器发送的认证结果,并根据该认证结果确定第一终端是否合法。
一个示例中,交换设备可以将第一终端的终端信息发送给IMC EPS服务器。IMCEPS服务器在接收到交换设备发送的终端信息之后,可以采用基线对比、变更审核等方法对该终端信息进行分析认证,得到认证结果,并将该认证结果反馈给交换设备。其中,认证结果可以为认证通过,和认证未通过。交换设备接收来自IMC EPS服务器反馈的认证结果,可以确定第一终端是否合法。例如,若认证结果为认证通过,则确定第一终端合法。若认证结果为认证未通过,则确定第一终端不合法。
例如,IMC EPS服务器中预设有合法的终端信息(后续简称“为预设信息”)。IMCEPS服务器在接收到交换设备发送的终端信息之后,可以将该终端信息与预设信息进行匹配,实现对终端信息的认证过程。若预设信息中包含有该终端信息,IMC EPS服务器可以向交换设备发送指示认证通过的认证结果。交换设备接收到该认证结果后,确定第一终端合法。若预设信息中未包含该终端信息,IMC EPS服务器向交换设备发送指示认证未通过的认证结果。交换设备接收到该认证结果后,确定第一终端不合法。
另一个可选的实施例中,交换设备在获得第一终端的终端信息之后,可以采用基线对比、变更审核等方法对该终端信息进行分析认证,确定第一终端是否合法,得到认证结果。
例如,交换设备中预设有合法的终端信息(后续简称为“预设信息”)。交换设备在获得第一终端的终端信息之后,可以将该终端信息与预设信息进行匹配。若预设信息中包含有该终端信息,则交换设备的认证结果为认证通过,进而交换设备可以确定该终端信息对应的第一终端合法。若预设信息中未包含该终端信息,则交换设备的认证结果为认证未通过,进而交换设备可以确定该终端信息对应的第一终端不合法。
本申请实施例中,第一终端的终端信息包括但不限于第一终端的终端类型和MAC地址。在确定终端是否合法时,可以根据实际情况获取合适的终端信息。
一个示例中,交换设备允许接入的终端为某一种或多种终端类型的终端,则该交换设备可获取第一终端的终端类型来确定第一终端是否合法。例如,交换设备允许接入的终端类型为摄像头,即预设信息为摄像头。交换设备可获取第一终端的终端类型,判断该第一终端类型是否是摄像头。若该第一终端的终端类型是摄像头,则交换设备确定该第一终端合法。若该第一终端的终端类型不是摄像头,如打印机、PC等,则交换设备确定该第一终端不合法。
另一个示例中,交换设备允许接入的终端为某一种或多种IP地址/MAC地址的终端,则该交换设备可获取第一终端的IP地址/MAC地址来确定第一终端是否合法。例如,交换设备允许接入的终端的MAC地址为MAC 1,即预设信息为MAC 1。交换设备可获取第一终端的MAC地址,判断第一终端的MAC地址是否为MAC 1。若第一终端的MAC地址是MAC 1,则交换设备确定该第一终端合法。若第一终端的MAC地址不是MAC 1,则交换设备确定该第一终端不合法。
步骤S304,与第一终端建立连接。
在本步骤中,若确定第一终端合法,则交换设备与第一终端建立连接。一个示例中,若确定第一终端不合法,则交换设备拒绝与第一终端建立连接,禁止第一终端接入网络,提高网络的安全性。
一个可选的实施例中,若交换设备确定第一终端合法,则可以确定交换设备中是否存在第一VLAN(Virtual Local Area Network,虚拟局域网)虚接口。其中,第一VLAN虚接口为IP地址与第一终端的IP地址属于同一网段的VLAN虚接口。若未存在第一VLAN虚接口,则在交换设备中配置第一VLAN虚接口,并通过该第一VLAN虚接口在交换设备与第一终端之间建立连接。若存在第一VLAN虚接口,则通过该第一VLAN虚接口在交换设备与第一终端之间建立连接。
在本申请的一个的实施例中,若交换设备确定第一终端不合法,则交换设备可以通过预设方式,拒绝与第一终端建立连接。例如,交换设备可以采用Shutdown(关闭)端口,切换VLAN或者设置ACL(Access Control List,访问控制列表)等方式,拒绝与第一终端建立连接。
一个可选的实施例中,关于上述检测交换设备是否存在第一端口,至少包括以下四种情况。
情况一,交换设备可以利用扫描定时器,按照预设的时间间隔,对交换设备的每一端口进行扫描,确定每一端口的状态是否为开启状态。针对状态为开启状态的端口,交换设备可以确定该端口设置为开启状态的时长是否小于第一时长阈值。若小于第一时长阈值,则交换设备可以确定该端口为交换设备中存在的第一端口。
情况二,交换设备可以利用扫描定时器,按照预设的时间间隔,对交换设备的每一端口进行扫描,并获取该交换设备的转发表。交换设备可以确定转发表中是否存在添加时长小于第二时长阈值的第一转发表项。若存在第一转发表项,则交换设备可以确定该第一转发表项对应的端口为交换设备中存在的第一端口。
情况三,交换设备接收IMC EPS服务器发送的扫描指令,并根据该扫描指令,对交换设备的每一端口进行扫描,确定每一端口的状态是否为开启状态。针对状态为开启状态的端口,交换设备可以确定该端口设置为开启状态的时长是否小于第一时长阈值。若小于第一时长阈值,则交换设备可以确定该端口为交换设备中存在的第一端口。
情况四,交换设备接收IMC EPS服务器发送的扫描指令,并根据该扫描指令,对交换设备的每一端口进行扫描,并获取该交换设备的转发表。交换设备可以确定转发表中是否存在添加时长小于第二时长阈值的第一转发表项。若存在第一转发表项,则交换设备可以确定该第一转发表项对应的端口为交换设备中存在的第一端口。
本申请的实施例中,上述扫描定时器的扫描周期、第一时长阈值以及第二时长阈值可以根据交换设备的使用环境、用途等进行设置,在此不作具体限定。上述IMC EPS服务器发送的扫描指令可以是根据第一终端发送的请求指令自动触发的,也可以是根据用户的需求进行自由设定的。
本申请实施例中,除可采用上述对交换设备的各端口的状态和/或转发表项进行扫描的方式来检测交换设备中的第一端口外,还可以采用其他方式来检测交换设备中的第一端口。例如,交换设备可采用检测各端口的标记的方式来检测交换设备中的第一端口。具体的,若交换设备的一个端口接收到第一终端发送的连接请求,可以对该端口进行标记。交换设备在检测交换设备是否存在第一端口时,可以检测交换设备的每一端口中是否存在有标记的端口。若端口存在有标记的端口,则交换设备确定该端口为第一端口。在本申请实施例中,对第一端口的检测方法不作具体限定。
一个实施例中,上述对终端进行扫描得到终端信息的过程中,交换设备可以采用扫描定时器,按照预设时间间隔对第一终端进行扫描,得到第一终端的终端信息。交换设备也可以接收IMC EPS服务器发送的扫描指令,根据该扫描指令对第一端口进行扫描,得到第一终端的终端信息。
一个实施例中,在上述步骤S301中,交换设备检测交换设备的至少一个端口中是否存在第一端口,是通过交换设备对其各端口进行扫描确定的。在上述步骤S302中,交换设备获取第一终端的终端信息,是通过交换设备对第一端口接入的第一终端进行扫描确定的。通过上述步骤S301和步骤S302共两次扫描过程,确定了交换设备中第一端口对应的第一终端的终端信息。
另一个实施例中,交换设备在检测交换设备中的第一端口时,可以同步确定交换设备每一端口对应终端的终端信息,从每一端口对应的终端信息中选取第一端口的终端信息。也就是交换设备可同时对其各端口以及第一终端进行扫描,该扫描通过一次扫描完成。
在本申请实施例中,上述交换设备直接对终端进行认证,确定第一终端是否合法,以及上述交换设备配置第一VLAN虚接口为本申请对交换设备的功能进行拓展的两种实施方式。在实际过程中,可以根据实际应用场景或用户需求等对交换设备的功能进行拓展,在本申请中不作具体限定。
综上所述,通过本申请实施例提供的方法,可以在端点探测过程中,将对终端进行扫描的功能部署在网络中原有的交换设备上,不必额外部署扫描服务器,降低了网络部署成本以及网络管理难度。另外,交换设备可以直接对终端进行扫描,打破了将扫描指令通过整个网络传输到终端才能对终端进行扫描的局限性,提高了扫描的效率。
仍以图2所示端点探测***为例进行说明。扫描功能集成在网关交换机104-105上。终端106通过端口1与网关交换机104连接,终端107通过端口3与网关交换机104连接,终端108通过端口4与网关交换机105连接,终端109通过端口5与网关交换机105连接。以网关交换机接收到连接请求后,将对应端口的状态为UP状态为例说明连接建立过程。
若网关交换机104通过端口2接收到终端110发送的连接请求1,网关交换机104根据连接请求1,将端口2的状态调整为UP状态。
网关交换机104定时检测端口1-3的状态设置为UP状态的时长,并判断端口1-3设置为UP状态的时长是否小于上述第一时长阈值。若检测到端口2的状态设置为UP状态的时长小于上述第一时长阈值,则网关交换机104对终端110进行扫描,获取终端110的终端信息1。
网关交换机104可以通过汇聚交换机102以及核心交换机101将终端信息1发送给IMC EPS服务器100。
IMC EPS服务器100在接收到终端信息1后,通过将终端信息1与预设的合法终端信息进行比较,完成对终端信息1的认证,得到认证结果1,并可以将认证结果1通过汇聚交换机102以及核心交换机101反馈给网关交换机104。
网关交换机104在接收到认证结果1后,可以根据认证结果1确定终端110是否合法。若确定终端110合法,则网关交换机104通过端口2与终端110之间建立连接。
基于本申请实施例提供的端点探测***,可以在端点探测过程中,将对终端进行扫描的功能部署在了网络中原有的交换设备上,不必额外部署扫描服务器,降低了网络部署成本以及网络管理难度。另外,交换设备可以直接对终端进行扫描,打破了将扫描指令通过整个网络传输到终端才能对终端进行扫描的局限性,提高了扫描的效率。
基于同一种发明构思,根据上述本申请实施例提供的一种连接建立方法,本申请实施例还提供了一种连接建立装置。
参见图4,图4为本申请实施例提供的连接建立装置的一种结构示意图。该连接建立装置应用于交换设备,可以包括以下模块。
检测模块401,用于检测交换设备是否存在第一端口,第一端口为接收到第一终端发送的连接请求的端口。
获取模块402,用于在检测模块401的检测结果为是的情况下,对第一终端进行扫描,得到第一终端的终端信息。
确定模块403,用于根据终端信息,确定第一终端是否合法。
建立模块404,用于若确定第一终端合法,则与第一终端建立连接。
可选的,上述检测模块401,具体可以用于按照预设时间间隔,检测交换设备中是否存在开启时长小于第一时长阈值的端口,和/或检测转发表中是否存在添加时长小于第二时长阈值的第一转发表项,第一转发表项包括交换设备的端口信息;若是,则确定交换设备存在第一端口。
可选的,上述检测模块401,具体可以用于接收IMC EPS服务器发送的扫描指令;根据扫描指令,检测交换设备中是否存在开启时长小于第一时长阈值的端口,和/或检测转发表中是否存在添加时长小于第二时长阈值的第一转发表项,第一转发表项包括交换设备的端口信息;若是,则确定交换设备存在第一端口。
可选的,上述连接建立装置还可以包括:
接收模块,用于通过第一端口接收第一终端发送的连接请求。
调整模块,用于根据连接请求,将第一端口的状态设置为开启状态,和/或在转发表中增加针对第一端口的第一转发表项。
可选的,上述确定模块403,具体可以用于将终端信息发送给IMC EPS服务器,以使IMC EPS服务器对终端信息进行认证,得到认证结果;接收IMC EPS服务器发送的认证结果;根据认证结果确定第一终端是否合法。
可选的,上述建立模块404,具体可以用于确定交换设备中是否存在第一VLAN虚接口,其中,第一VLAN虚接口为IP地址与第一终端的IP地址属于同一网段的VLAN虚接口;若未存在,则配置第一VLAN虚接口,并通过第一VLAN虚接口与第一终端建立连接;若存在,则通过第一VLAN虚接口与第一终端建立连接。
通过本申请实施例提供的装置,可以在端点探测过程中,将对终端进行扫描的功能部署在了网络中原有的交换设备上,不必额外部署扫描服务器,降低了网络部署成本以及网络管理难度。另外,交换设备可以直接对终端进行扫描,打破了将扫描指令通过整个网络传输到终端才能对终端进行扫描的局限性,提高了扫描的效率。
基于同一种发明构思,根据上述本申请实施例提供的一种连接建立方法及装置,本申请实施例还提供了一种电子设备。参见图5,图5为本申请实施例提供的电子设备的一种结构示意图。该电子设备包括处理器501、通信接口502、存储器503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信;
存储器503,用于存放计算机程序;
处理器501,用于执行存储器503上所存放的程序时,实现如下步骤:
检测交换设备的至少一个端口中是否存在第一端口,第一端口为接收到第一终端发送的连接请求的端口;
若存在,则对第一终端进行扫描,得到第一终端的终端信息;
根据终端信息,确定第一终端是否合法;
如果第一终端合法,则与第一终端建立连接。
通过本申请实施例提供的电子设备,可以在端点探测过程中,将对终端进行扫描的功能部署在了网络中原有的交换设备上,不必额外部署扫描服务器,降低了网络部署成本以及网络管理难度。另外,交换设备可以直接对终端进行扫描,打破了将扫描指令通过整个网络传输到终端才能对终端进行扫描的局限性,提高了扫描的效率。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
基于同一种发明构思,根据本申请实施例提供的一种连接建立的方法及装置,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一连接建立方法的步骤。
基于同一种发明构思,根据本申请实施例提供的一种连接建立的方法及装置,本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一连接建立方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、计算机可读存储介质及计算机程序产品等实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (14)
1.一种连接建立方法,其特征在于,应用于交换设备,所述方法包括:
检测所述交换设备是否存在第一端口,所述第一端口为接收到第一终端发送的连接请求的端口;
若存在,则对所述第一终端进行扫描,得到所述第一终端的终端信息;
根据所述终端信息,确定所述第一终端是否合法;
如果所述第一终端合法,则与所述第一终端建立连接。
2.根据权利要求1所述的方法,其特征在于,所述检测所述交换设备是否存在第一端口的步骤,包括:
按照预设时间间隔,检测所述交换设备中是否存在开启时长小于第一时长阈值的端口,和/或检测转发表中是否存在添加时长小于第二时长阈值的第一转发表项,所述第一转发表项包括所述交换设备的端口信息;若是,则确定所述交换设备存在第一端口。
3.根据权利要求1所述的方法,其特征在于,所述检测所述交换设备是否存在第一端口的步骤,包括:
接收智能管理中心IMC端点探测***EPS服务器发送的扫描指令;根据所述扫描指令,检测所述交换设备中是否存在开启时长小于第一时长阈值的端口,和/或检测转发表中是否存在添加时长小于第二时长阈值的第一转发表项,所述第一转发表项包括所述交换设备的端口信息;若是,则确定所述交换设备存在第一端口。
4.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
通过第一端口接收第一终端发送的连接请求;
根据所述连接请求,将所述第一端口的状态设置为开启状态,和/或在所述转发表中增加针对所述第一端口的所述第一转发表项。
5.根据权利要求1所述的方法,其特征在于,所述根据所述终端信息,确定所述第一终端是否合法的步骤,包括:
将所述终端信息发送给IMC EPS服务器,以使所述IMC EPS服务器对所述终端信息进行认证,得到认证结果;
接收所述IMC EPS服务器发送的所述认证结果;
根据所述认证结果确定所述第一终端是否合法。
6.根据权利要求1所述的方法,其特征在于,所述与所述第一终端建立连接的步骤,包括:
确定所述交换设备中是否存在第一虚拟局域网VLAN虚接口,其中,所述第一VLAN虚接口为互联网协议IP地址与所述第一终端的IP地址属于同一网段的VLAN虚接口;
若未存在,则配置所述第一VLAN虚接口,并通过所述第一VLAN虚接口与所述第一终端建立连接;
若存在,则通过所述第一VLAN虚接口与所述第一终端建立连接。
7.一种连接建立装置,其特征在于,应用于交换设备,所述装置包括:
检测模块,用于检测所述交换设备是否存在第一端口,所述第一端口为接收到第一终端发送的连接请求的端口;
获取模块,用于在检测模块的检测结果为是的情况下,对所述第一终端进行扫描,得到所述第一终端的终端信息;
确定模块,用于根据所述终端信息,确定所述第一终端是否合法;
建立模块,用于若确定所述第一终端合法,则与所述第一终端建立连接。
8.根据权利要求7所述的装置,其特征在于,所述检测模块,具体用于按照预设时间间隔,检测所述交换设备中是否存在开启时长小于第一时长阈值的端口,和/或检测转发表中是否存在添加时长小于第二时长阈值的第一转发表项,所述第一转发表项包括所述交换设备的端口信息;若是,则确定所述交换设备存在所述第一端口。
9.根据权利要求7所述的装置,其特征在于,所述检测模块,具体用于接收智能管理中心IMC端点探测***EPS服务器发送的扫描指令;根据所述扫描指令,检测所述交换设备中是否存在开启时长小于第一时长阈值的端口,和/或检测转发表中是否存在添加时长小于第二时长阈值的第一转发表项,所述第一转发表项包括所述交换设备的端口信息;若是,则确定所述交换设备存在所述第一端口。
10.根据权利要求8或9所述的装置,其特征在于,所述装置还包括:
接收模块,用于通过第一端口接收第一终端发送的连接请求;
调整模块,用于根据所述连接请求,将所述第一端口的状态设置为开启状态,和/或在所述转发表中增加针对所述第一端口的所述第一转发表项。
11.根据权利要求7所述的装置,其特征在于,所述确定模块,具体用于将所述终端信息发送给IMC EPS服务器,以使所述IMC EPS服务器对所述终端信息进行认证,得到认证结果;接收所述IMC EPS服务器发送的所述认证结果;根据所述认证结果确定所述第一终端是否合法。
12.根据权利要求7所述的装置,其特征在于,所述建立模块,具体用于确定所述交换设备中是否存在第一虚拟局域网VLAN虚接口,其中,所述第一VLAN虚接口为互联网协议IP地址与所述第一终端的IP地址属于同一网段的VLAN虚接口;若未存在,则配置所述第一VLAN虚接口,并通过所述第一VLAN虚接口与所述第一终端建立连接;若存在,则通过所述第一VLAN虚接口与所述第一终端建立连接。
13.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-6任一所述的方法步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811541569.3A CN109617972B (zh) | 2018-12-17 | 2018-12-17 | 一种连接建立方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811541569.3A CN109617972B (zh) | 2018-12-17 | 2018-12-17 | 一种连接建立方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109617972A true CN109617972A (zh) | 2019-04-12 |
CN109617972B CN109617972B (zh) | 2021-11-26 |
Family
ID=66009474
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811541569.3A Active CN109617972B (zh) | 2018-12-17 | 2018-12-17 | 一种连接建立方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109617972B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110602567A (zh) * | 2019-08-15 | 2019-12-20 | 视联动力信息技术股份有限公司 | 一种视联网设备的管理方法及装置 |
CN112202927A (zh) * | 2020-11-13 | 2021-01-08 | 深圳市和讯华谷信息技术有限公司 | 长连接建立方法、装置、计算机设备及存储介质 |
CN112672140A (zh) * | 2020-11-30 | 2021-04-16 | 新华三技术有限公司 | 一种摄像头的识别方法及装置 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040255167A1 (en) * | 2003-04-28 | 2004-12-16 | Knight James Michael | Method and system for remote network security management |
CN1866926A (zh) * | 2005-05-19 | 2006-11-22 | 村田机械株式会社 | 路由器设备和通信*** |
US7733789B1 (en) * | 1999-03-05 | 2010-06-08 | Cisco Technology, Inc. | Remote monitoring of switch network |
CN102377774A (zh) * | 2010-08-24 | 2012-03-14 | 巴比禄股份有限公司 | 网络中继装置及帧的中继的控制方法 |
CN103929376A (zh) * | 2014-04-30 | 2014-07-16 | 尹志超 | 一种基于交换机端口管理的终端准入控制方法 |
US20150052253A1 (en) * | 2014-09-22 | 2015-02-19 | Weaved, Inc. | Multi-server fractional subdomain dns protocol |
CN104539907A (zh) * | 2015-01-13 | 2015-04-22 | 济南中维世纪科技有限公司 | 一种在网络中快速搜索及管理视频监控设备的方法 |
CN105072055A (zh) * | 2015-09-17 | 2015-11-18 | 北京博维亚讯技术有限公司 | 一种以太网交换机及其端口轮询***、轮询方法 |
CN105245473A (zh) * | 2015-09-02 | 2016-01-13 | 国家电网公司 | 基于交换机双重绑定的局域网终端准入控制方法 |
CN106131066A (zh) * | 2016-08-26 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种认证方法及装置 |
CN108966363A (zh) * | 2018-08-17 | 2018-12-07 | 新华三技术有限公司 | 一种连接建立方法及装置 |
-
2018
- 2018-12-17 CN CN201811541569.3A patent/CN109617972B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7733789B1 (en) * | 1999-03-05 | 2010-06-08 | Cisco Technology, Inc. | Remote monitoring of switch network |
US20040255167A1 (en) * | 2003-04-28 | 2004-12-16 | Knight James Michael | Method and system for remote network security management |
CN1866926A (zh) * | 2005-05-19 | 2006-11-22 | 村田机械株式会社 | 路由器设备和通信*** |
CN102377774A (zh) * | 2010-08-24 | 2012-03-14 | 巴比禄股份有限公司 | 网络中继装置及帧的中继的控制方法 |
CN103929376A (zh) * | 2014-04-30 | 2014-07-16 | 尹志超 | 一种基于交换机端口管理的终端准入控制方法 |
US20150052253A1 (en) * | 2014-09-22 | 2015-02-19 | Weaved, Inc. | Multi-server fractional subdomain dns protocol |
CN104539907A (zh) * | 2015-01-13 | 2015-04-22 | 济南中维世纪科技有限公司 | 一种在网络中快速搜索及管理视频监控设备的方法 |
CN105245473A (zh) * | 2015-09-02 | 2016-01-13 | 国家电网公司 | 基于交换机双重绑定的局域网终端准入控制方法 |
CN105072055A (zh) * | 2015-09-17 | 2015-11-18 | 北京博维亚讯技术有限公司 | 一种以太网交换机及其端口轮询***、轮询方法 |
CN106131066A (zh) * | 2016-08-26 | 2016-11-16 | 杭州华三通信技术有限公司 | 一种认证方法及装置 |
CN108966363A (zh) * | 2018-08-17 | 2018-12-07 | 新华三技术有限公司 | 一种连接建立方法及装置 |
Non-Patent Citations (3)
Title |
---|
CHARLES V. NEU等: ""Lightweight IPS for port scan in OpenFlow SDN networks"", 《NOMS 2018 - 2018 IEEE/IFIP NETWORK OPERATIONS AND MANAGEMENT SYMPOSIUM》 * |
林钰超: ""专用网络中终端安全接入***的设计与实现"", 《中国优秀硕士学位论文全文数据库》 * |
王颖: ""网络准入控制***的研究与实现"", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110602567A (zh) * | 2019-08-15 | 2019-12-20 | 视联动力信息技术股份有限公司 | 一种视联网设备的管理方法及装置 |
CN112202927A (zh) * | 2020-11-13 | 2021-01-08 | 深圳市和讯华谷信息技术有限公司 | 长连接建立方法、装置、计算机设备及存储介质 |
CN112202927B (zh) * | 2020-11-13 | 2023-01-10 | 深圳市和讯华谷信息技术有限公司 | 长连接建立方法、装置、计算机设备及存储介质 |
CN112672140A (zh) * | 2020-11-30 | 2021-04-16 | 新华三技术有限公司 | 一种摄像头的识别方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109617972B (zh) | 2021-11-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102183897B1 (ko) | 네트워크에 대한 인공지능 기반 이상 징후 검출 방법, 장치 및 시스템 | |
CN104243210B (zh) | 远程访问路由器管理页面的方法和*** | |
US10212224B2 (en) | Device and related method for dynamic traffic mirroring | |
JP7414391B2 (ja) | 強化されたスマートプロセス制御スイッチのポートロックダウン | |
CN104796298B (zh) | 一种sdn网络故障分析的方法及装置 | |
US8670349B2 (en) | System and method for floating port configuration | |
US9230213B2 (en) | Device and related method for scoring applications running on a network | |
EP2530900B1 (en) | Network security parameter generation and distribution | |
CN104539464B (zh) | 节点故障诊断方法及装置 | |
CN101360015B (zh) | 测试网络设备的方法、***及装置 | |
US10944765B2 (en) | Security system for machine to machine cyber attack detection and prevention | |
CN114553665A (zh) | 用于计算机网络的方法、控制器及计算机可读介质 | |
CN104113443A (zh) | 一种网络设备检测方法、装置及云检测*** | |
CN107154940A (zh) | 一种物联网漏洞扫描***及扫描方法 | |
CN109617972A (zh) | 一种连接建立方法、装置、电子设备及存储介质 | |
CN111447089B (zh) | 终端资产识别方法和装置,及计算机可读存储介质 | |
CN109327342B (zh) | 一种基于任务驱动的自适应sdn仿真***及仿真平台 | |
CN103840976B (zh) | 通信方法、光设备和网络设备 | |
EP3499908A1 (en) | A device and method for the determination of applications running on a network | |
CN108989114A (zh) | 一种配置路由器的方法及装置 | |
US20090207756A1 (en) | Network configuration management method | |
CN108353027A (zh) | 一种用于检测端口故障的软件定义网络*** | |
EP3254223B1 (en) | Security system for machine to machine cyber attack detection and prevention | |
CN107241461B (zh) | Mac地址获取方法、网关设备、网络认证设备及网络*** | |
CN105407095B (zh) | 不同网络间安全通信装置及其通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |