专利名称:物理隔离交换机的制作方法
技术领域:
本实用新型涉及一种网络安全及数据交换技术,尤其是一种能够实现网络物理隔离的交换机及隔离控制方法。属于计算机网络技术领域。
“如果不存在于网络的物理连接,网络安全威胁便受到了真正的限制”,《计算机信息系统国际联网保密管理规定》中第六条规定“涉及国家秘密的计算机系统,不得直接或间接地与国际互联网或其他公共信息网络相联接,必须实行物理隔离”。
以太网交换技术是在多端口网桥的基础上发展起来的,实现OSI模型的下两层协议。它与Hub、集线器相比,除具有信号放大、波形整形等物理层的功能外,还具有高速的数据帧传送性能。
以太网交换机同网桥相似,根据网络设备的MAC地址表对以太网进行分段,为每个客户端工作站提供更高的网络带宽。数据帧的交换模式分为直通和存储转发两种模式,其中直通式的数据交换速度最快,而存储转发式的数据交换准确率最高。
目前交换机的端口速率已经从10M、100M提高到1000M,而端口的工作模式分为半双工和全双工两种,在全双工的工作模式下,通信双方是点对点的双向数据帧交换,没有冲突。
图1简单描述了交换机的应用拓扑结构。
现有物理隔离包括物理隔离器8、物理隔离卡11、传统物理隔离交换机16。其中物理隔离器8适用于双布线的网络环境。物理隔离器8直接安装在每一个客户端PC机上,由每一个客户端用户根据需要触动产品上的按钮和点击切换程序,两个网络环境中实现切换。结构如图2所示。其特点及功能1、每个客户端需配置两条网线。
2、物理隔离器8需分别安装在每一个需要保护的客户端电脑上。
3、物理隔离器8将网络一分为二,进行物理隔离,使其无法互相通讯。
4、当一个网络处于工作状态时,另一个网络则处于关闭。
5、通过点击软件和触动物理隔离器8上的按钮,切换两个独立网。
6、LED可显示正在使用的网络环境。
7、利用客户端电脑中软件的文件夹隐藏功能,可在Internet环境中保护那些被隐藏了的特定资料的安全。
此产品针对双布线的网络环境,但是将所有的数据都保存在一块硬盘上并不能真正保证数据的安全。
现有技术的物理隔离卡11是一个PCI接口卡,将单一系统分成两个系统,且位于不同的网络环境中。每一个系统有其自己的资源(HDD),且不能共享,只连接唯一指定网络。上述操作是通过一个网卡17与物理隔离卡11连接完成的。
物理隔离卡11控制系统的IDE硬盘驱动,将两个硬盘隔离。它可控制两个已分离的网线和硬盘,且当一个系统运行时,阻止本系统访问另一系统资源。不仅如此,它还会拒绝Internet恶意用户连接网络或硬盘的请求。欲转换系统,需要重新启动,以保护内存中重要数据的安全。将物理隔离卡产品安装在每一台客户端单机上,且为每一个客户单机购买一个存储外部网数据的硬盘。因为物理隔离卡11不仅可以物理隔离内部网和外部网,而且可以物理隔离内部网硬盘12和外部网硬盘13。所以为了正确运行产品,用户需额外为外网购买一个硬盘来成功执行双硬盘物理隔离的操作。如图3所示用户若需要进行网络转换,需要转动物理隔离卡11转换钥匙,将会出现重新启动系统的提示。为避免出现信息的外流,包括驻留在内存中的数据安全,用户每次进行网络转换时,物理隔离卡11都要求重新启动系统。
现有技术中的传统物理隔离交换机16是结合装在客户PC上的软件来实现物理隔离的。这个软件是配合物理隔离交换机产品进行网络切换时所使用的。如果用户想从内网进入外网,需要点击Windows上的图标按钮来完成IP地址的转换。这个软件自动更改IP地址且给物理隔离交换机16发送一个程序包,从而转换到另一个网络。所以这样虽然可隔离网络,但不保障个人电脑的安全。因此若要实现真正的物理隔离还必须结合物理隔离卡11配套使用。如图4所示用户通过钥匙(或按钮)选择内部网或外部网,所选的网络信号值(0或1)传导物理隔离卡20的控制器上,该控制器根据所获得的数字信号来控制硬盘控制器,启动所选硬盘19,然后驱动软件生成只有物理隔离交换机16可识别并能转换的特殊代码(帧),并通过连接网卡17的UTP线传给物理隔离交换机16,该帧逐一解析物理隔离交换机16的物理层芯片、转换器和FPGA芯片,最终驱动继电器连接指定网络。
由于传统的物理隔离交换机通过安装在客户端的软件来实现转换IP及触发内外网的切换,并且在切换过程中最好重新启动系统。技术实现上的复杂性导致内外网切换的速度及稳定性大打折扣。
由此可见,传统的单一物理隔离产品很难实现真正的物理隔离,若要实现真正的物理隔离不仅需要达到双网络物理隔离的效果,同时也需要达到双硬盘物理隔离。针对这种需求,对于单网线的网络环境来说,可能需要进行二次布线工程,这样不仅耗时耗力,更为重要的是增加网络建设成本。而加装双硬盘、网卡等硬件设备不仅增加了成本,同时也为日后系统的维护升级留下了许多隐患。因此传统的物理隔离方案,从经济和安全的角度分析均不是性能价格比高的解决方案。
实用新型内容本实用新型的目的在于提供一种物理隔离交换机及其隔离控制方法,它在实现内外网隔离的同时,不再增加其他任何网络设备,不更改现有的网络拓扑结构,同时要保证真正的物理隔离。
为此,本实用新型通过如下技术方案实现上述目的一种网络物理隔离交换机,它包括一网络交换机,由控制处理器连接客户机网卡的MAC端口、路由侦听引擎、地址查询模块、缓存管理模块等构成。其中网络交换机的控制处理器口线接切换模块,内网服务器端口、外网服务器端口分别接物理隔离的逻辑异的切换模块两端口,客户机接交换机网络端口控制处理器控制逻辑通过切换逻辑模块接切换模块控制端,切换逻辑模块用以根据处理器的处理切换模块动作。
交换机的控制处理器口线还接设通用I/O接口以及配置逻辑模块,其中通用I/O接口为交换机配置静态的控制信息提供标准输入/输出接口;配置逻辑模块用于存放交换机静态控制逻辑,交换控制处理器根据控制逻辑控制切换端口的工作状态、修改路由信息以及切换逻辑。
具体地,切换模块由多路电子开关或与非门构成。配置逻辑模块由存储芯片和软件控制逻辑构成。
根据上述技术方案分析可知,采用本实用新型,对于瘦客户/服务器系统而言,由于所有软件的运行配置,数据的存储,与其他网络设备的通讯,都由终端服务器来完成,所以在此基础上用户只需要将内、外网服务器进行物理隔离即可使数据实现真正的物理隔离。原理简单明了,实施安全可靠。
无需双布线,仅利用一根网线就可完成两个网络间的物理切换。用户无需对原有网络另行改造即可实现完全物理隔离。为企业节省了大量的人力和物力。
安装调试简便。用户在客户端无需安装添加任何软、硬件。在切实保障网络安全的同时降低了工程难度。
内外网系统切换简便,省时省力。
本实用新型通过集成在交换机内的高速切换单元来实现内外网的隔离。因此有效保障了了整个切换过程的速度及稳定性。用户只需在第一次安装的时候一次配置完成。瘦客户系统的用户不用触动任何开关也无需重新启动系统,整个切换过程仅需要一次重新注销的时间,因而大大提高了劳动效率。
图2为现有技术物理隔离器应用网络拓扑图。
图3为现有技术物理隔离卡应用网络拓扑图。
图4为现有技术物理隔离交换机应用网络拓扑图。
图5为本实用新型物理隔离交换机应用网络拓扑图。
图6为现有交换机内部结构示意图。
图7为本实用新型内部结构示意图。
图8为本实用新型网络连接逻辑控制结构示意图。
图9为本实用新型方法步骤流程图。
图10为采用本实用新型的用户端应用界面示意图。
本实用新型包括交换机的功能以及客户机与服务器的物理隔离切换功能。
本实用新型交换机部分可与普通网络交换机结构(如图6所示)一致。其构成参见图7所示,由控制处理器连接接客户机网卡的MAC端口、路由侦听引擎、地址查询模块、缓存管理模块等构成。其中网络交换机的控制处理器口线接切换模块,内网服务器端口、外网服务器端口分别接物理隔离的逻辑异的切换模块两端口,客户机接交换机网络端口控制处理器控制逻辑通过切换逻辑模块接切换模块控制端,切换逻辑模块用以根据处理器的处理切换模块动作。
交换机的控制处理器口线还接设通用I/O接口以及配置逻辑模块,其中通用I/O接口为交换机配置静态的控制信息提供标准输入/输出接口;配置逻辑模块用于存放交换机静态控制逻辑,交换控制处理器根据控制逻辑控制切换端口的工作状态、修改路由信息以及切换逻辑。
具体地,切换模块由多路电子开关或与非门构成。配置逻辑模块由存储芯片和软件控制逻辑构成。目前交换机一般采用国际领先的Switch-on-a-chip集成技术,整个交换功能的实现完全集成在ASIC芯片上,CMOS密度高达0.25/0.18微米。交换芯片内部集成了几千甚至上万多个晶体管、上百万个门电路和上兆字节的SRAM。交换引擎主要包括以太网接口控制器、管理接口控制器、内存管理单元、高速数据缓冲池等功能模块,以完成尽可能线速的交换性能。传统交换机从网桥发展而来,属于OSI第二层即数据链路层设备。它根据MAC地址寻址,通过MAC地址表选择路由,MAC地址表的建立和维护由交换机自动进行。
传统交换机根据功能主要包括以下几个重要的部分控制处理器负责交换机管理软件的执行及硬件控制信号的产生;交换元件负责电路交换任务;缓存每个端口有一个缓存,以暂时存储客户端工作站传送的信息;路由表提供信息交换的参考路径。包括客户端工作站的MAC地址及其对应交换机的连接端口。
普通的网络交换机作为客户机的集中器,起到信号整形和放大的作用,以尽可能快的速度进行数据交换,以满足日益增大的网络带宽需求;物理隔离交换机具有普通网络交换机的共同特性,支持多协议路由(IP、IPX、AppleTalk)和桥接协议;利用内嵌的管理软件实现对交换机的网络管理,优化其网络性能;每个端口应用自动协商技术,自动检测和支持所连设备的网络速度和工作模式,自动切换全双工和半双工,使其网络性能达到最佳化;支持Spanning Tree协议(IEEE802.1D),在实现网络冗余的同时,防止了环路的产生;支持IEEE802.3 10Base-T以太网、IEEE802.3u 100Base-TX快速以太网、IEEE802.3x流量控制机制、RFC2236 IGMP、RFC854 Telnet、RFC1757 RMON、RFC1213 SNMP等。
具体地,目前交换机交换引擎主要包括以太网接口控制器、管理接口控制器、内存管理单元、高速数据缓冲池等功能模块,以完成尽可能线速的交换性能。传统交换机从网桥发展而来,属于OSI第二层即数据链路层设备。它根据MAC地址寻址,通过MAC地址表选择路由,MAC地址表的建立和维护由交换机自动进行。
如图8所示,本实用新型通过隔离逻辑,可以看出客户端(WBT)在同一时间只能与Internal port或Externa1 port中的一个端口建立连接,而Internal port和External port之间是不能通信的,这两个端口是物理隔离的,从而实现了交换机的隔离功能。
在瘦客户/服务器系统安全体系结构中,服务器的安全策略定制系统域用户的权限,物理隔离交换机则实现内外网的物理隔离。
本实用新型物理隔离交换机具有以太网交换机的通用功能,功能结构也类似。同时为了实现物理隔离功能,额外增加了端口切换模块和切换控制模块,端口切换模块实现物理隔离的切换功能。隔离逻辑;切换控制模块是针对客户端数据包的目的地址来控制切换开关的切换动作,其工作逻辑由系统管理员设定并通过网管软件实现,最后把切换控制信号传送给端口切换模块,控制端口切换。其中MAC端口符合IEEE802.3 10Base-T、IEEE802.3u 100Base-TX等标准,每个端口采用自动协商技术,可以在全双工或半双工的工作模式下通信,为工作站或其它网络设备与物理隔离交换机提供连接端口;高速交换控制处理器根据数据交换算法和逻辑处理物理隔离交换机的数据帧交换,处理数据帧的排队、缓存、交换等任务,力求以尽可能线速度的转发数据帧。
缓存及管理将物理隔离交换机接收到的数据帧缓存在高速缓存器中,根据高速交换机处理器的查询和运算结果,将待转发的、存储在缓存器中的数据帧经由正确的端口转发至目的地。
路由/侦听及地址查询根据交换机接收的数据帧的源MAC地址和端口号,建立MAC路由表;为交换控制处理器高速转发数据帧提供正确、有效的路由。
切换开关及其控制逻辑切换控制逻辑是确定待转发到隔离端口的数据帧经由端口的逻辑控制,其逻辑控制由交换控制处理器处理,并由切换开关完成数据帧的切换工作。
通用I/O接口为交换机配置静态的控制信息提供标准的输入/输出接口。
配置逻辑用于存放交换机的静态控制逻辑,交换控制处理器根据其控制逻辑控制端口的工作状态、修改路由信息以及切换逻辑等等。
本实用新型的工作流程如图9步骤1端口收到数据包,检查路由表中是否有目的地条目;有,则执行步骤2,没有则执行步骤5;步骤2该地址是否为隔离端口地址;是,则执行步骤3;不是则执行步骤4;步骤3判断隔离地址为外网端口还是内网端口,分别将数据包转发到对应的端口上;步骤4根据路由表确定目的端口,并更新路由表信息,将数据包转发相应端口;
步骤5向所有端口转发该数据包,并更新除隔离端口外的路由表信息,并将数据包转发对应端口。
本实用新型通过本身的物理隔离端口,把外网服务器23和内网服务器24隔离开来,当客户机需要在内部办公时,可以选择登录内网服务器24,若需要处理外部事物时,选择登录外网服务器23。由于交换机25的内网端口和外网端口是物理隔离的,内网服务器24和外网服务器23之间是不能通信的,这就保证了内网的保密数据不能传送到外网,实现了内外网的物理隔离。
参见图10选择网络连接。用户在选择登录内网和外网时,只需点击一下所选的网络即可,无需重新启动机器,简单快捷。
最后所应说明的是,以上实施例仅用以说明本实用新型的技术方案而非限制,尽管参照较佳实施例对本实用新型进行了详细说明,本领域的普通技术人员应当理解,可以对本实用新型的技术方案进行修改或者等同替换,而不脱离本实用新型技术方案的精神和范围,其均应涵盖在本实用新型的权利要求范围当中。
权利要求1.一种网络物理隔离交换机,它包括一网络交换机,由控制处理器连接接客户机网卡的MAC端口、路由侦听引擎、地址查询模块、缓存管理模块等构成,其特征在于所述的网络交换机的控制处理器口线接切换模块,内网服务器端口、外网服务器端口分别接物理隔离的逻辑异的切换模块端口,客户机接交换机网络端口控制处理器控制逻辑通过切换逻辑模块接切换模块控制端,切换逻辑模块用以根据处理器的处理切换模块动作。
2.根据权利要求1所述的网络物理隔离交换机,其特征在于所述的切换模块由多路电子开关或与非门构成。
3.根据权利要求1所述的网络物理隔离交换机,其特征在于所述的交换机的控制处理器口线还接设通用I/O接口以及配置逻辑模块,其中通用I/O接口为交换机配置静态的控制信息提供标准输入/输出接口;配置逻辑模块用于存放交换机静态控制逻辑,交换控制处理器根据控制逻辑控制切换端口的工作状态、修改路由信息以及切换逻辑。
4.根据权利要求1所述的网络物理隔离交换机,其特征在于所述的配置逻辑模块由存储芯片和软件控制逻辑构成。
专利摘要一种网络物理隔离交换机,其网络交换机的控制处理器口线接切换模块,内网服务器端口、外网服务器端口分别接物理隔离的逻辑异的切换模块端口,客户机接交换机网络端口控制处理器控制逻辑通过切换逻辑模块接切换模块控制端,切换逻辑模块用以根据处理器的处理切换模块动作。交换机的控制处理器口线还接设通用I/O接口以及配置逻辑模块,其中通用I/O接口为交换机配置静态的控制信息提供标准输入/输出接口;配置逻辑模块用于存放交换机静态控制逻辑,交换控制处理器根据控制逻辑控制切换端口的工作状态、修改路由信息以及切换逻辑。本实用新型在实现内外网隔离的同时,不再增加其他任何网络设备,不更改现有的网络拓扑结构,同时要保证真正的物理隔离。
文档编号G06F12/16GK2561012SQ0223825
公开日2003年7月16日 申请日期2002年6月26日 优先权日2002年6月26日
发明者王占宏, 韩大伟 申请人:京东方科技集团股份有限公司