本發(fā)明涉及網(wǎng)絡(luò)安全防御技術(shù)�,特別涉及一種ARP準(zhǔn)入控制方法。
背景技術(shù):
ARP(Address Resolution Protocol)即地址解析協(xié)議�,是根據(jù)IP地址獲取MAC地址的協(xié)議。主機(jī)發(fā)送ARP請(qǐng)求廣播到網(wǎng)絡(luò)上的所有主機(jī)���,并接收返回消息���;收到返回消息后將該IP地址和MAC地址存入本機(jī)ARP緩存中并保留一定時(shí)間,下次請(qǐng)求時(shí)直接查詢ARP緩存以節(jié)約資源���。地址解析協(xié)議是建立在網(wǎng)絡(luò)中各個(gè)主機(jī)互相信任的基礎(chǔ)上的�,網(wǎng)絡(luò)上的主機(jī)可以自主發(fā)送ARP應(yīng)答消息�,其他主機(jī)收到應(yīng)答報(bào)文時(shí)不會(huì)檢測(cè)該報(bào)文的真實(shí)性就會(huì)將其記入本機(jī)ARP緩存;由此攻擊者就可以向某一主機(jī)發(fā)送偽ARP應(yīng)答報(bào)文���,使其發(fā)送的信息無(wú)法到達(dá)預(yù)期的主機(jī)或到達(dá)錯(cuò)誤的主機(jī)��,這就構(gòu)成了一個(gè)ARP欺騙����。
MAC(Media Access Control)地址,又稱媒體訪問(wèn)控制地址����,或稱為 MAC位址、硬件位址��,用來(lái)定義網(wǎng)絡(luò)設(shè)備的位置���。在OSI模型中����,IP地址是OSI第三層網(wǎng)絡(luò)層的地址��,MAC位址是OSI第二層數(shù)據(jù)鏈路層的地址���。
準(zhǔn)入這一概念是由思科發(fā)起��,后續(xù)由華為�、華三等多家廠商根據(jù)此概念��,基于在NAC的基礎(chǔ)上進(jìn)行自主研發(fā)的一門新興技術(shù)�,包括EOU、WebAuth����、MAB、IAB等�����,其宗旨是防止病毒��、漏洞���、網(wǎng)絡(luò)攻擊等黑客技術(shù)對(duì)企業(yè)網(wǎng)絡(luò)安全造成危害�����,為企業(yè)建設(shè)一套網(wǎng)絡(luò)安全體系��。
網(wǎng)絡(luò)準(zhǔn)入控制(NAC)是目前主流的網(wǎng)絡(luò)安全防御技術(shù)�����,它通過(guò)對(duì)終端實(shí)施安全保護(hù)�,有效地解決了非安全終端接入網(wǎng)絡(luò)而引起的安全威脅,將病毒��、漏洞�����、網(wǎng)絡(luò)攻擊等拒之門外����,從而全面的保障了接入到網(wǎng)絡(luò)中的設(shè)備的安全。網(wǎng)絡(luò)準(zhǔn)入控制的常用技術(shù)有策略路由準(zhǔn)入���、VLAN隔離準(zhǔn)入����、dot1x準(zhǔn)入���、ARP準(zhǔn)入�、鏡像準(zhǔn)入等��。
常用的安全規(guī)則有:身份認(rèn)證��、終端訪問(wèn)權(quán)限域檢查、終端硬件信息檢查�����、終端軟件列表檢查�、補(bǔ)丁檢查����、終端漏洞檢查等。目前診斷是否符合安全規(guī)則屬于現(xiàn)有技術(shù)的范疇�。
不符合安全規(guī)則判定:出現(xiàn)下列情況之一,就判定為不符合安全規(guī)則終端:身份認(rèn)證失?。唤K端訪問(wèn)權(quán)限域限制����,不允許訪問(wèn)全網(wǎng);終端硬件私自增減�����,如私自減少內(nèi)存或私接U盤等�;安裝了不允許安裝的軟件;終端的操作系統(tǒng)存在嚴(yán)重安全漏洞�����。目前診斷是否不符合安全規(guī)則屬于現(xiàn)有技術(shù)的范疇。
主機(jī)(Host):是通用名詞�����,包括終端��、服務(wù)器����、網(wǎng)關(guān)等所有具有實(shí)現(xiàn)通信功能的設(shè)備。
非安全終端:不符號(hào)安全規(guī)則的終端����。
ARP準(zhǔn)入控制是通過(guò)ARP欺騙實(shí)現(xiàn)的,由于越來(lái)越多的終端安裝了ARP防火墻�,現(xiàn)有的ARP準(zhǔn)入控制在遇到ARP防火墻時(shí)已經(jīng)不能起作用。
ARP準(zhǔn)入控制方法是通過(guò)對(duì)網(wǎng)絡(luò)中的ARP交互過(guò)程進(jìn)行控制,以達(dá)到非安全終端的流量經(jīng)過(guò)準(zhǔn)入控制服務(wù)器進(jìn)行控制的目的。
現(xiàn)有的ARP準(zhǔn)入控制方法包括如下步驟:(1) 終端發(fā)出ARP請(qǐng)求��;(2) 服務(wù)器進(jìn)行ARP回應(yīng);(3) 準(zhǔn)入控制服務(wù)器趕在服務(wù)器ARP回應(yīng)之前,進(jìn)行ARP回應(yīng)。現(xiàn)有的ARP準(zhǔn)入控制方法存在如下主要缺陷:(1) 控制不穩(wěn)定�,當(dāng)服務(wù)器的ARP回應(yīng)快于準(zhǔn)入控制服務(wù)器的ARP回應(yīng)時(shí)�����,控制失效;(2) 單向控制�����,只控制了終端發(fā)往服務(wù)器的數(shù)據(jù)流量��,沒(méi)有控制服務(wù)器返回給終端的數(shù)據(jù)流量���,當(dāng)終端安裝了ARP防火墻軟件時(shí),控制失效���;(3) 一次只能控制終端與網(wǎng)段內(nèi)的單個(gè)IP通信�����,不能控制整個(gè)網(wǎng)段�����。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明提供了一種ARP準(zhǔn)入控制方法�����,其目的旨在克服上述現(xiàn)有技術(shù)的缺陷�。
本發(fā)明的目的是通過(guò)下述技術(shù)方案實(shí)現(xiàn)的:
一種ARP準(zhǔn)入控制方法,包括如下步驟:
步驟1:準(zhǔn)入控制服務(wù)器主動(dòng)獲取終端和與終端處于同一網(wǎng)段內(nèi)的其他所有主機(jī)的真實(shí)MAC地址�;
步驟2:準(zhǔn)入控制服務(wù)器對(duì)終端進(jìn)行入網(wǎng)認(rèn)證及安全規(guī)則判定;
步驟3:準(zhǔn)入控制服務(wù)器主動(dòng)向終端和與終端處于同一網(wǎng)段內(nèi)的其他所有主機(jī)發(fā)送ARP單播更新���。
在上述技術(shù)方案的基礎(chǔ)上���,本發(fā)明可附加下述技術(shù)手段,以便更好地或者更有針對(duì)性地解決本發(fā)明所要解決的技術(shù)問(wèn)題:
準(zhǔn)入控制服務(wù)器采用下述具體方式和步驟獲取終端和與終端處于同一網(wǎng)段內(nèi)的其他所有主機(jī)的真實(shí)MAC地址:
S1:終端發(fā)出ARP廣播請(qǐng)求�����,詢問(wèn)同一網(wǎng)段內(nèi)的任意一臺(tái)主機(jī)的真實(shí)MAC地址��;
S2:同一網(wǎng)段內(nèi)的被詢問(wèn)主機(jī)回應(yīng)終端��,將真實(shí)MAC地址告知終端�;
S3:準(zhǔn)入控制服務(wù)器向終端發(fā)出ARP單播請(qǐng)求,詢問(wèn)終端的MAC地址���;
S4:終端回應(yīng)準(zhǔn)入控制服務(wù)器��,將真實(shí)MAC地址告知準(zhǔn)入控制服務(wù)器����;
S5:準(zhǔn)入控制服務(wù)器向同一網(wǎng)段內(nèi)的其他所有主機(jī)發(fā)出ARP單播請(qǐng)求,詢問(wèn)同一網(wǎng)段內(nèi)的其他所有主機(jī)的真實(shí)MAC地址���;
S6:同一網(wǎng)段內(nèi)的其他所有主機(jī)分別回應(yīng)準(zhǔn)入控制服務(wù)器����,將自身的真實(shí)MAC地址告知準(zhǔn)入控制服務(wù)器�����。
進(jìn)一步地���,準(zhǔn)入控制服務(wù)器采用下述具體方式和步驟主動(dòng)向終端和與終端處于同一網(wǎng)段內(nèi)的其他所有主機(jī)發(fā)送ARP單播更新:
當(dāng)發(fā)現(xiàn)終端不符合安全規(guī)則時(shí),準(zhǔn)入控制服務(wù)器向該終端發(fā)送ARP單播更新���,將該終端上的關(guān)于同一網(wǎng)段內(nèi)的其他所有主機(jī)的ARP信息都刷新成準(zhǔn)入控制服務(wù)器的MAC地址��;同時(shí)準(zhǔn)入控制服務(wù)器向與終端處于同一網(wǎng)段內(nèi)的其他所有主機(jī)發(fā)送ARP單播更新�����,將這些主機(jī)上的關(guān)于該終端的ARP信息都刷新成準(zhǔn)入控制服務(wù)器的MAC地址��;
當(dāng)發(fā)現(xiàn)終端符合安全規(guī)則時(shí)�����,準(zhǔn)入控制服務(wù)器向該終端發(fā)送ARP單播更新�����,將該終端上的關(guān)于同一網(wǎng)段內(nèi)的其他所有主機(jī)的ARP信息都刷新成相應(yīng)主機(jī)的真實(shí)MAC地址�;同時(shí)準(zhǔn)入控制服務(wù)器向同一網(wǎng)段內(nèi)的其他所有主機(jī)發(fā)送ARP單播更新,將這些主機(jī)上的關(guān)于該終端的ARP信息都刷新成終端的真實(shí)MAC地址���。需要說(shuō)明的是����,此時(shí)終端的真實(shí)MAC地址是由準(zhǔn)入控制服務(wù)器在本技術(shù)方案的先前技術(shù)步驟中主動(dòng)獲取得到的�����。
進(jìn)一步地����,ARP單播更新動(dòng)作通過(guò)ARP單播請(qǐng)求報(bào)文、ARP回應(yīng)報(bào)文的組合來(lái)實(shí)現(xiàn)�。
需要說(shuō)明的是����,準(zhǔn)入控制服務(wù)器對(duì)終端進(jìn)行入網(wǎng)認(rèn)證及安全規(guī)則判定屬于現(xiàn)有技術(shù)的范疇���。
本發(fā)明的技術(shù)原理在于�,通過(guò)采用主動(dòng)的ARP單播請(qǐng)求���、ARP廣播請(qǐng)求���、ARP單播更新動(dòng)作技術(shù),從而控制非安全終端與本網(wǎng)段內(nèi)的所有主機(jī)之間的雙向通信��,即非安全終端與本網(wǎng)段內(nèi)的所有主機(jī)之間的雙向通信都經(jīng)過(guò)準(zhǔn)入控制服務(wù)器控制��。
本發(fā)明的有益效果是:(1) 在ARP準(zhǔn)入環(huán)境中�,使用本發(fā)明提出的ARP準(zhǔn)入控制方法后����,不會(huì)出現(xiàn)服務(wù)器ARP回應(yīng)較快而失效的問(wèn)題;因?yàn)槟苓M(jìn)行雙向的ARP通信控制(同時(shí)控制終端發(fā)往服務(wù)器的數(shù)據(jù)流量和服務(wù)器返回給終端的數(shù)據(jù)流量),而且控制相當(dāng)穩(wěn)定����;(2) 使用本發(fā)明提出的ARP準(zhǔn)入控制方法后��,不會(huì)出現(xiàn)因終端安裝了ARP防火墻軟件而導(dǎo)致ARP準(zhǔn)入控制失效的問(wèn)題��;因?yàn)槟苓M(jìn)行雙向的ARP通信控制且網(wǎng)關(guān)交換機(jī)不會(huì)開(kāi)啟ARP防火墻�����;(3) 使用本發(fā)明提出的ARP準(zhǔn)入控制方法后�,一次能控制非安全終端與本網(wǎng)段的所有主機(jī)通信����;在終端符合安全規(guī)則入網(wǎng)后,能夠正常進(jìn)行ARP切換�,有效地保障了網(wǎng)絡(luò)的吞吐量。
具體實(shí)施方式
為了更加清楚地說(shuō)明本發(fā)明的技術(shù)方案����,以下對(duì)本發(fā)明的具體實(shí)施方式作非限制性解釋。
在一個(gè)典型的包括終端����、主機(jī)、準(zhǔn)入控制服務(wù)器����、服務(wù)器的配置網(wǎng)絡(luò)中����,所述終端可為一個(gè)或者多個(gè)���,所述主機(jī)可為一個(gè)或者多個(gè)��,所述終端可以符合安全規(guī)則���,也可以不符合安全規(guī)則,所述準(zhǔn)入控制服務(wù)器主要用于控制非安全終端與本網(wǎng)段內(nèi)的所有主機(jī)之間的雙向通信���,所述服務(wù)器用于實(shí)現(xiàn)網(wǎng)絡(luò)的日常服務(wù)功能��。
實(shí)施例一
一種ARP準(zhǔn)入控制方法��,包括如下步驟:
步驟1:準(zhǔn)入控制服務(wù)器主動(dòng)獲取終端和與終端處于同一網(wǎng)段內(nèi)的其他所有主機(jī)的真實(shí)MAC地址���;
步驟2:準(zhǔn)入控制服務(wù)器對(duì)終端進(jìn)行入網(wǎng)認(rèn)證及安全規(guī)則判定;
步驟3:準(zhǔn)入控制服務(wù)器主動(dòng)向終端和與終端處于同一網(wǎng)段內(nèi)的其他所有主機(jī)發(fā)送ARP單播更新����。
作為本實(shí)施例的一種備選方案����,準(zhǔn)入控制服務(wù)器采用下述具體方式和步驟獲取終端和與終端處于同一網(wǎng)段內(nèi)的其他所有主機(jī)的真實(shí)MAC地址:
S1:終端發(fā)出ARP廣播請(qǐng)求���,詢問(wèn)同一網(wǎng)段內(nèi)的任意一臺(tái)主機(jī)的真實(shí)MAC地址;
S2:同一網(wǎng)段內(nèi)的被詢問(wèn)主機(jī)回應(yīng)終端�����,將真實(shí)MAC地址告知終端�;
S3:準(zhǔn)入控制服務(wù)器向終端發(fā)出ARP單播請(qǐng)求,詢問(wèn)終端的MAC地址��;
S4:終端回應(yīng)準(zhǔn)入控制服務(wù)器��,將真實(shí)MAC地址告知準(zhǔn)入控制服務(wù)器����;
S5:準(zhǔn)入控制服務(wù)器向同一網(wǎng)段內(nèi)的其他所有主機(jī)發(fā)出ARP單播請(qǐng)求,詢問(wèn)同一網(wǎng)段內(nèi)的其他所有主機(jī)的真實(shí)MAC地址�;
S6:同一網(wǎng)段內(nèi)的其他所有主機(jī)分別回應(yīng)準(zhǔn)入控制服務(wù)器,將自身的真實(shí)MAC地址告知準(zhǔn)入控制服務(wù)器��。
作為本實(shí)施例的一種備選方案�,準(zhǔn)入控制服務(wù)器采用下述具體方式和步驟主動(dòng)向終端和與終端處于同一網(wǎng)段內(nèi)的其他所有主機(jī)發(fā)送ARP單播更新:
當(dāng)發(fā)現(xiàn)終端不符合安全規(guī)則時(shí),準(zhǔn)入控制服務(wù)器向該終端發(fā)送ARP單播更新,將該終端上的關(guān)于同一網(wǎng)段內(nèi)的其他所有主機(jī)的ARP信息都刷新成準(zhǔn)入控制服務(wù)器的MAC地址��;同時(shí)準(zhǔn)入控制服務(wù)器向與終端處于同一網(wǎng)段內(nèi)的其他所有主機(jī)發(fā)送ARP單播更新�����,將這些主機(jī)上的關(guān)于該終端的ARP信息都刷新成準(zhǔn)入控制服務(wù)器的MAC地址�;
當(dāng)發(fā)現(xiàn)終端符合安全規(guī)則時(shí),準(zhǔn)入控制服務(wù)器向該終端發(fā)送ARP單播更新�,將該終端上的關(guān)于同一網(wǎng)段內(nèi)的其他所有主機(jī)的ARP信息都刷新成相應(yīng)主機(jī)的真實(shí)MAC地址;同時(shí)準(zhǔn)入控制服務(wù)器向同一網(wǎng)段內(nèi)的其他所有主機(jī)發(fā)送ARP單播更新�����,將這些主機(jī)上的關(guān)于該終端的ARP信息都刷新成終端的真實(shí)MAC地址����。需要說(shuō)明的是,此時(shí)終端的真實(shí)MAC地址是由準(zhǔn)入控制服務(wù)器在本技術(shù)方案的先前技術(shù)步驟中主動(dòng)獲取得到的��。
作為本實(shí)施例的一種備選方案���,ARP單播更新動(dòng)作通過(guò)ARP單播請(qǐng)求報(bào)文���、ARP回應(yīng)報(bào)文的組合來(lái)實(shí)現(xiàn)�。
實(shí)施例二
本實(shí)施例中���,有一臺(tái)終端,以及5臺(tái)與該終端處于同一網(wǎng)段內(nèi)的主機(jī)��,為了表述問(wèn)題的方便����,分別將該五臺(tái)主機(jī)命名為第一主機(jī)、第二主機(jī)��、第三主機(jī)����、第四主機(jī)、第五主機(jī)����。
該實(shí)施例所體現(xiàn)的ARP準(zhǔn)入控制方法包括如下步驟:
步驟1:準(zhǔn)入控制服務(wù)器主動(dòng)獲取終端和第一主機(jī)、第二主機(jī)��、第三主機(jī)�、第四主機(jī)、第五主機(jī)的真實(shí)MAC地址��;
步驟2:準(zhǔn)入控制服務(wù)器對(duì)終端進(jìn)行入網(wǎng)認(rèn)證及安全規(guī)則判定;
步驟3:準(zhǔn)入控制服務(wù)器主動(dòng)向終端和第一主機(jī)�、第二主機(jī)、第三主機(jī)���、第四主機(jī)���、第五主機(jī)發(fā)送ARP單播更新。
作為本實(shí)施例的一種備選方案���,準(zhǔn)入控制服務(wù)器采用下述具體方式和步驟獲取終端和第一主機(jī)��、第二主機(jī)����、第三主機(jī)�、第四主機(jī)、第五主機(jī)的真實(shí)MAC地址:
S1:終端發(fā)出ARP廣播請(qǐng)求���,詢問(wèn)第二主機(jī)的真實(shí)MAC地址�����;
S2:第二主機(jī)回應(yīng)終端����,將真實(shí)MAC地址告知終端;
S3:準(zhǔn)入控制服務(wù)器向終端發(fā)出ARP單播請(qǐng)求���,詢問(wèn)終端的MAC地址�����;
S4:終端回應(yīng)準(zhǔn)入控制服務(wù)器,將真實(shí)MAC地址告知準(zhǔn)入控制服務(wù)器�;
S5:準(zhǔn)入控制服務(wù)器向第一主機(jī)、第二主機(jī)��、第三主機(jī)�����、第四主機(jī)����、第五主機(jī)發(fā)出ARP單播請(qǐng)求,詢問(wèn)第一主機(jī)�、第二主機(jī)、第三主機(jī)����、第四主機(jī)���、第五主機(jī)的真實(shí)MAC地址;
S6:第一主機(jī)�、第二主機(jī)、第三主機(jī)����、第四主機(jī)、第五主機(jī)分別回應(yīng)準(zhǔn)入控制服務(wù)器��,將第一主機(jī)��、第二主機(jī)�、第三主機(jī)、第四主機(jī)���、第五主機(jī)的真實(shí)MAC地址告知準(zhǔn)入控制服務(wù)器�。
作為本實(shí)施例的一種備選方案����,準(zhǔn)入控制服務(wù)器采用下述具體方式和步驟主動(dòng)向終端和第一主機(jī)、第二主機(jī)�、第三主機(jī)�����、第四主機(jī)�����、第五主機(jī)發(fā)送ARP單播更新:
當(dāng)發(fā)現(xiàn)終端不符合安全規(guī)則時(shí)�����,準(zhǔn)入控制服務(wù)器向終端發(fā)送ARP單播更新,將終端上的關(guān)于第一主機(jī)�、第二主機(jī)、第三主機(jī)��、第四主機(jī)�����、第五主機(jī)的ARP信息都刷新成準(zhǔn)入控制服務(wù)器的MAC地址���;同時(shí)準(zhǔn)入控制服務(wù)器向第一主機(jī)��、第二主機(jī)、第三主機(jī)���、第四主機(jī)、第五主機(jī)發(fā)送ARP單播更新��,將第一主機(jī)����、第二主機(jī)����、第三主機(jī)、第四主機(jī)�、第五主機(jī)上的關(guān)于終端的ARP信息都刷新成準(zhǔn)入控制服務(wù)器的MAC地址����;
當(dāng)發(fā)現(xiàn)終端符合安全規(guī)則時(shí),準(zhǔn)入控制服務(wù)器向終端發(fā)送ARP單播更新����,將終端上的關(guān)于第一主機(jī)��、第二主機(jī)����、第三主機(jī)���、第四主機(jī)�����、第五主機(jī)的ARP信息都刷新成第一主機(jī)���、第二主機(jī)���、第三主機(jī)�����、第四主機(jī)��、第五主機(jī)的真實(shí)MAC地址;同時(shí)準(zhǔn)入控制服務(wù)器向第一主機(jī)、第二主機(jī)�、第三主機(jī)、第四主機(jī)����、第五主機(jī)發(fā)送ARP單播更新�,將第一主機(jī)��、第二主機(jī)、第三主機(jī)����、第四主機(jī)、第五主機(jī)上的關(guān)于終端的ARP信息都刷新成終端的真實(shí)MAC地址��。需要說(shuō)明的是��,此時(shí)終端的真實(shí)MAC地址是由準(zhǔn)入控制服務(wù)器在本技術(shù)方案的先前技術(shù)步驟中主動(dòng)獲取得到的�。
作為本實(shí)施例的一種備選方案����,ARP單播更新動(dòng)作通過(guò)ARP單播請(qǐng)求報(bào)文�����、ARP回應(yīng)報(bào)文的組合來(lái)實(shí)現(xiàn)�����。
需要說(shuō)明的是���,終端可以詢問(wèn)第一主機(jī)、第二主機(jī)����、第三主機(jī)、第四主機(jī)����、第五主機(jī)中的任意一臺(tái)或者多臺(tái)主機(jī)����,并不是像本實(shí)施例所表示的僅僅只是詢問(wèn)第二主機(jī);另外�����,在本實(shí)施例中,第一主機(jī)��、第二主機(jī)、第三主機(jī)、第四主機(jī)�、第五主機(jī)的表述只是為了表達(dá)的方便,并不意味著這些主機(jī)一定不同���;同理���,終端的表述也是為了表達(dá)的方便����,僅僅代表一臺(tái)發(fā)起詢問(wèn)的終端���。
需要說(shuō)明的是��,本實(shí)施例的具體連貫控制步驟如下:
S1:終端發(fā)出ARP廣播請(qǐng)求����,詢問(wèn)第二主機(jī)的MAC地址;
S2:第二主機(jī)回應(yīng)終端��,第二主機(jī)的MAC地址是真實(shí)的第二主機(jī)MAC地址;
S3:準(zhǔn)入控制服務(wù)器向終端發(fā)出ARP單播請(qǐng)求,詢問(wèn)終端的MAC地址��;
S4:終端回應(yīng)準(zhǔn)入控制服務(wù)器�����,終端的MAC地址是真實(shí)的終端MAC地址��;
S5:準(zhǔn)入控制服務(wù)器向第二主機(jī)、第一主機(jī)��、第三主機(jī)、第四主機(jī)����、第五主機(jī)發(fā)出ARP單播請(qǐng)求�,詢問(wèn)第二主機(jī)、第一主機(jī)�、第三主機(jī)���、第四主機(jī)���、第五主機(jī)的MAC地址�����;
S6:第二主機(jī)�����、第一主機(jī)���、第三主機(jī)、第四主機(jī)���、第五主機(jī)回應(yīng)準(zhǔn)入控制服務(wù)器,第二主機(jī)的MAC地址是真實(shí)的第二主機(jī)MAC地址�,第一主機(jī)的MAC地址是真實(shí)的第一主機(jī)MAC地址����,第三主機(jī)的MAC地址是真實(shí)的第三主機(jī)MAC地址�����,第四主機(jī)的MAC地址是真實(shí)的第四主機(jī)MAC地址�,第五主機(jī)的MAC地址是真實(shí)的第五主機(jī)MAC地址���;
S7:準(zhǔn)入控制服務(wù)器對(duì)終端進(jìn)行入網(wǎng)認(rèn)證及安全規(guī)則判定;
S8:當(dāng)發(fā)現(xiàn)終端不符合安全規(guī)則時(shí)�����,準(zhǔn)入控制服務(wù)器向終端發(fā)出ARP單播更新,本網(wǎng)段內(nèi)其他所有主機(jī)(第一主機(jī)、第二主機(jī)����、第三主機(jī)、第四主機(jī)�����、第五主機(jī))的MAC地址是準(zhǔn)入控制服務(wù)器的MAC地址��;同時(shí)�����,準(zhǔn)入控制服務(wù)器向本網(wǎng)段內(nèi)其他所有主機(jī)發(fā)出ARP單播更新���,終端的MAC地址是準(zhǔn)入控制服務(wù)器的MAC地址。此時(shí)終端與本網(wǎng)段其他主機(jī)的流量通過(guò)準(zhǔn)入控制服務(wù)器控制;
當(dāng)發(fā)現(xiàn)終端符合安全規(guī)則時(shí)����,準(zhǔn)入控制服務(wù)器進(jìn)行ARP切換�����,具體步驟如下:準(zhǔn)入控制服務(wù)器向終端發(fā)出ARP更新���,本網(wǎng)段內(nèi)其他所有主機(jī)(第一主機(jī)、第二主機(jī)、第三主機(jī)���、第四主機(jī)�、第五主機(jī))的MAC是本網(wǎng)段內(nèi)其他所有主機(jī)的真實(shí)MAC地址���;準(zhǔn)入控制服務(wù)器同時(shí)向本網(wǎng)段內(nèi)其他所有主機(jī)發(fā)出ARP更新�,終端的MAC地址是真實(shí)的終端MAC地址。