1 前言

　　在公司信息内网，虽然制订了网络终端接入相关规定，明确网络终端必须履行接入、变更、注销手续，但因部分员工安全意识淡薄，网络终端私拉乱接的现象时有发生，不仅增加了运行维护人员的工作量，而且存在很大的安全隐患。

　　综上所述，研制网络终端接入控制系统势在必行，以解决网络终端接入面广、量大的难题，为信息安全运维实现一站式服务提供有力支撑。

　　2 网络接入控制系统的设计

　　2.1本系统开发思路

　　“变隐性为显性”一将交换机内部的隐含的信息呈现出来。

　　“变繁琐为简单”一将繁琐的命令转化为简单的界面，由系统自动管理数百台交换机、上千个端口。

　　“变专业为普通”一由专业管理变为普通人员也可管。

　　“变异步为同步”一以运维台帐为核心，环环相扣，实现台帐同步更新。

　　2.2公司网络现状

　　广域网:淮安公司采用调度省到市2.5G SDH通道实现12410接入省公司网，8540通过调度省到市ATM通道连接到省公司作为备用通道。市到县采用调度市县SDH622M通道，形成南北2个环网.

　　局域网:淮安供电公司办公区分散，供电公司局域网主要有7处，分别是生产调度楼、运行检修工区、新营销楼、营业所、教育培训中心，楚州营业部，淮阴营业部。公司本部局域网核心为CISC06509+6513双核心交换机。县公司核心交换机为双4507。各楼层配线间和各分部门接入交换机基本为cisco2950， 3550， 3650等交换机，千兆接入核心交换机，形成了骨千千兆、桌面百兆的局域网。

　　农电广域网:变电所节点使用h3cs三层交换机，通过变电所SDH设备上MSTP口连到核心网络，各供电所使用h3c二层交换机就近百兆或者千兆接入到变电所三层交换机。

　　目前我公司接入层设备间设备大部分为cisco2900系列、cisco 3500系列，少部分4500系列，变电所、供电所设备为H3C，市县共有各类接入交换机近300台。

　　2.3前期准备工作

　　1)核对基础台帐:统计所有交换机、终端台帐的详细信息，确保基础数据准确无误。

　　2)整理网络布线:整理网络设备间配线架、设备间到楼层房间的布线，标出所有交换机端口对应的配线架号，贴上标签，标出终端接口编号。

　　3)梳理流程制度:梳理网络制度和接入流程，制订相关配套表格，明确网络接入必须履行相关手续。

　　2.4方案设计工作

　　1)系统采用((C/S)体系结构，运用面向对象的数据库设计思想，用delphi等工具开发，可在windows xp， windows 2003等操作系统上运行，后台采用大型关系型数据库;

　　2)实现一套系统，分级分层授权管理;

　　3)以运维台帐为基础，自动控制交换机，实现对终端设备接入内网的控制，并将读取的信息存入大型关系型数据库，可对交换机端口实时绑定的MAC与运维台帐进行比较，将无台帐信息进行断网处理.待用户办理相关手续后重新接入网络，形成操作日志，以供查询分析。

　　2.5系统功能描述

　　2. 5. 1分为5大功能模块:

　　(1)系统设里:交换机台帐等信息设置.

　　(2)交换机端口设置:

　　1、自动对交换机所有端口绑定、解绑;

　　2、自动对交换机某个端口绑定、解绑:

　　3、可手动选择交换机端口、PC台帐，程序自动对该端口和PC台帐里对应MAC绑定:可手动选择已绑MAC信息，程序自动从该端口进行解绑。

　　(3)备份与恢复:

　　1.可对交换机所有端口绑定NAC信息进行备份，选择不同时间备份信息恢复;

　　2，可对交换机某个端口绑定。AC信息进行备份、选择不同时间备份信息恢复。

　　(4)端口重组:可将不同交换机的不同端口组合到一起。授权给操作员使用，如:将会议室几个端口授权给会议室管理员使用，对外来终端接入控制。

　　(5)报表、日志查询:报表查询，及所有操作功能都形成日志.供查询。

　　2.5.2实现如下功能:

　　(1)自动对交换机所有端口绑定、解绑

　　(2)自动对交换机某个端口绑定、解绑

　　(3)可对交换机所有端口绑定MAC信息进行备份、选择不同时间备份信息恢复

　　(4)可对交换机某个端口绑定MAC信息进行备份、选择不同时间备份信息恢复

　　(5)可手动选择交换机端口，PC台帐，程序自动对该端口和PC台帐里对应MAC绑定;可手动选择己绑MAC信息，程序自动从该端口进行解绑;

　　2.5.3部分流程:

　　(1)交换机自动绑定、解绑

　　(2)端口选择台帐绑定、解绑

　　对端口进行绑定的部分代码:

　　2.6按区域分步实施

　　总体实施步骤:

　　制定实施计划==>>宣传发动==>>规定时间节点终端，一次性自动绑定==>>通过运维台帐核对终端信息==>>纳入正常接入终端管理区域实施步骤:市公司==>>县公司==>>变电所==>>供电所

　　3 问题思考与一站式服务

　　不管企业和网络规模有多大:都需要用理想的安全水乎去权衡成本与可管理性。由于资撅的局限性，要选择正确的网络接入解决方案，我们首先需要确定网络接入控制部署的目标，包括理想的安全水平和管理水平，在提高安全性的同时还能减轻安全和网络管理的负担。网络接入控制系统能否发挥功效，很大程度依赖于我们日常的网络管理水平.如网络设备与终端的对应、台帐信息的及时性、全面性、准确性等。

　　我们的目标是提高管理水平，对最终用户提供一站式服务.采用内部传票方式.提升优质服务。

　　一站式服务要求提高H常网络管理水平，规范工作流程，与运维系统无缝接入，保持运维台帐同步联动。实现对终端设备接入内网的控制。

　　4 结论

　　网络接入控制系统是终端接入控制的得力工具，该系统已在cisco2950， 3550. H3C等交换机上运行成功，目前公司本部、后勤服务中心、变电运检中心、物资配送中心以及楚州营业部、洪泽供电公司、盯眙供电公司、金湖供电公司、涟水供电公司等单位投入使用，系统快速高效完成交换机瑞门与终端设备接入的管理，减少了网络工作人员的工作量，极大提高了公司信息安全运维管理水平，为公司信息安全运维一站式服务提供了有力支撑。