专利名称::用户终端之间三层隔离的方法和路由设备的制作方法
技术领域:
:本发明涉及网络
技术领域:
,尤其涉及一种用户终端之间三层隔离的方法和^各由i殳备。
背景技术:
:随着网络技术的不断发展,越来越多的网络安全问题呈现了出来。针对此问题,现有技术中提出了针对网^4姿入用户之间业务和访问的隔离技术。例如端口隔离技术,其普遍应用在二层接入交换机或具有交换功能的路由器上,依靠设备芯片提供的端口隔离功能实现。当部署在三层设备上时,将下行连接二层接入交换机的多个端口加入同一个隔离组中,并由设备芯片对该隔离组涉及的每个端口的硬件寄存器中分别添加标记,通过设备芯片的硬件功能以及每个端口上添加的标记,使得隔离组涉及的端口之间的三层业务无法互通。该方法存在的问题在于,目前相当多的设备芯片所支持的功能仅限于支持二层隔离,支持上述三层隔离功能的设备芯片种类很少。另夕卜,还可以在下行连接二层接入交换机的各个端口上设置ACL(AccessControlList,接入控制列表)规则,通过设置ACL规则,实现三层业务隔离。该方法存在的问题在于,需要在所有端口上都配置ACL,当端口数量较多时,配置非常繁瑣;且当端口接入的网络发生变化时,ACL也需要同步修改,导致灵活性^f艮差。总体来说,现有技术中的用户二层隔离技术比较成熟,而目前通过网关设备的路由功能实现用户之间三层隔离技术比较缺乏。
发明内容本发明提供一种用户终端之间三层隔离的方法和路由设备,用于简便的实现对用户终端的三层隔离功能。为达到上述目的,本发明的实施例提供一种用户终端之间三层隔离的方法,包括配置至少一个隔离组,所述隔离组中包括需要两两隔离的多个接口;从入接口接收到用户终端发送的需要进行三层转发处理的数据包时,根据路由表项获取所述数据包的出接口;所述入接口和出接口同属于所述任一隔离组时,拒绝所述数据包的转发操作。其中,所述隔离组中多个接口下的用户终端分别属于不同的网段。其中,所述配置至少一个隔离组包括根据预设的命令格式配置所述隔离组,所述命令格式中包括隔离命令名称、隔离组标识以及需要两两隔离的多个接口。其中,所述根据路由表项获取所述数据包的出接口包括获取所述数据包的目的IP地址;判断所述目的IP地址是否为有效地址,是则继续,否则丢弃所述数据包;根据所述目的IP地址匹配路由表的路由表项,根据匹配结果获得所述数据包的出接口。其中,还包括所述入接口和出接口不同属于所述任一隔离组时,向所述出接口中的目的IP地址转发所述ft据包。本发明还提供一种路由设备,包括隔离配置单元,用于配置至少一个隔离组,所述隔离组中包括需要两两隔离的多个4妄口;接收单元,用于从入接口接收用户终端发送的需要进行三层转发处理的数据包;出接口获取单元,用于根据路由表项获取所述数据包的出接口;隔离处理单元,用于当所述入接口和出接口同属于所述任一隔离组时,拒绝所述数据包的转发操作。其中,所述隔离配置单元中多个接口下的用户终端属于不同的网段。其中,还包括隔离命令输入单元,用于根据预设的命令格式配置所述隔离配置单元中的隔离组,所述命令格式中包括隔离命令名称、隔离组标识以及需要两两隔离的多个4妄口。其中,所述出接口获取单元包括目的IP地址获取子单元,用于获取所述数据包的目的IP地址;有效地址判断子单元,用于判断所述目的IP地址是否为有效地址,是则通知出接口获取子单元,否则丟弃所述数据包;出接口获取子单元,用于根据所述目的IP地址匹配路由表的路由表项,根据匹配结果获得所述数据包的出接口。其中,还包括转发处理单元,用于当所述入接口和出接口不同属于所述任一隔离组时,向所述出接口中的目的IP地址转发所述数据包。与现有技术相比,本发明具有以下优点本发明中对于需要进行三层转发处理的数据包,根据数据包的出接口和入接口以及预先配置的隔离组,判断是否对数据包进行转发,从而只需简单的配置即可实现对用户终端的三层隔离功能。为了更清楚地说明本发明的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图l是本发明中用户终端之间三层隔离方法的流程图2是本发明中用户终端之间三层隔离方法一应用场景的网络示意图3是本发明中用户终端之间三层隔离方法的再一流程图4是本发明中实现用户终端之间三层隔离的路由设备的结构示意图5是本发明中实现用户终端之间三层隔离的路由设备的另一结构示意图。具体实施例方式下面将结合本发明实施例中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明提供一种用户终端之间三层隔离的方法,如图1所示,包括以下步骤步骤s101、配置至少一个隔离组,隔离组中包括需要两两隔离的多个接o。步骤s102、从入接口接收到用户终端发送的需要进行三层转发处理的数据包时,根据路由表项获取该数据包的出接口。步骤s103、入接口和出接口同属于任一隔离组时,拒绝该数据包的转发操作。本发明提供的方法中,对于需要进行三层转发处理的数据包,根据数据包的出接口和入接口以及预先配置的隔离组,判断是否对数据包进行转发,从而只需简单的配置即可实现对用户终端的三层隔离功能。以下结合一具体的应用场景,描述本发明中用户终端之间三层隔离的方法。如图2所示,为本发明中用户终端之间三层隔离方法一应用场景的网络架构示意图。其中,用户终端PC通过接入交换机接入网络,接入交换机为二层转发设备,汇聚路由器和核心路由器为三层转发设备。其中在网络情况较筒单的情况下,汇聚路由器和核心路由器的功能也可以由一台路由器实现。该网络场景中,三台接入交换机分别通过接口E0/1、E0/2、E0/3与汇聚路由器-l连接。其中,接口E0/1、E0/2、E0/3分别对应不同的网段,接口E0/1中的网关为10.1.1.1,网段为10.1.1.1/24,24表示子网掩码;接口E0/2中的网关为10.1.2.1,网段为10.1.2.1/24;接口E0/3中的网关为10.1.3.1,网段为10.1.3.1/24。需要在汇聚路由器-1上实现对接口E0/1、E0/2、E0/3下面三个不同网段中用户终端之间的隔离时,如图3所示,本发明中提供的用户终端之间三层隔离的方法包4舌步骤s301、在路由器上执行隔离命令,对多个需要隔离的接口进行配置。具体的,该隔离命令用于将命令中包括的所有接口下用户终端之间的三层业务彼此隔离。具体的,隔离命令的命令格式中包括隔离命令名称、隔离组标识以及需要隔离的多个接口,隔离命令的一例为user-isolatezWex7E0/1EO/2E0/3其中user-isolate为隔离命令名称,/^fex7为隔离组的索引,E0/1、E0/2、E0/3为需要进行三层隔离的接口。执行该隔离命令后,路由器上的隔离组列表中增加了如表l所示的内容表l隔离组列表隔离组索引隔离组中包括的4妄口E0/1EO/2E0/3■该隔离组列表中包括了以不同的索引表示的隔离组,上述表1中仅以/wfec/表示的隔离组为例进行说明。步骤s302、路由器从接口接收到数据包,获取数据包的目的IP地址。具体的,以接口E0/1下IP地址为10.1.1.2的用户终端PC1访问接口E0/2下IP地址为10.1.2.2的用户终端PC2为例。路由器从接口E0/1下接收到PC1发送的数据包,将接口E0/1作为数据包的入接口,并获取到数据包的目的IP地址为10.1.2.2。步骤s303、路由器判断目的IP地址是否为有效地址,有效时则进行步骤s304,否则丟弃该ft据包。步骤s304、路由器获取目的IP地址所在的出接口。具体的,路由器中维护有用于数据包转发的路由表项,路由表项中包括以下内容目的IP地址以及对应的接口。例如下表2所示的路由表项结构:表2路由表项结构<table>tableseeoriginaldocumentpage9</column></row><table>例如对于目的IP地址为10.1.2.2的数据包,根据该路由表项中内容的最长匹配结果,可以得到该目的IP地址对应的出接口为E0/2。步骤s305、路由器判断入接口和出接口是否同属于预先配置的任一个隔离组,是则进行步骤s306,否则进行步骤s307。具体的,以步骤s304中获取的出接口和对应的入"t妄口为例,;洛由器可以查询上述步骤s301中所描述的隔离组列表。对于入接口E0/1和出接口E0/2,可以发现在z'wfec7为索引的隔离组中包括接口E0/1和E0/2,说明这两个接口下的用户终端间需要进行三层隔离。步骤s306、路由器拒绝该数据包的转发操作。具体的,入接口和出接口同属于预先配置的隔离组时,路由器拒绝该数据包的转发操作。步骤s307、路由器向出接口转发该数据包。具体的,出接口下的接入交换机将该数据包转发到其目的IP地址,用户终端PC2接收到该数据包。需要说明的是,对于汇聚路由器和核心路由器合一的网络场景,本发明提供的方法同样适用。具体的实施方式与上述图3所示的流程相似,在此不进行重复介绍。本发明提供的方法中,对于需要进行三层转发处理的数据包,根据数据包的出接口和入接口以及预先配置的隔离组,判断是否对数据包进行转发,从而只需简单的配置即可实现对用户终端的三层隔离功能。另外,使得不同网段的用户无法互访,在网络内部实现了基于三层隔离功能的网络安全。在路由设备的硬件不支持三层隔离的情况下,仍可以通过软件方式实现对用户终端的三层隔离。本发明还提供一种路由设备,包括多个接口,这些接口作为数据包的出接口或入接口。如图4所示,该路由设备包括隔离配置单元10,用于配置至少一个隔离组,每个隔离组中包括需要两两隔离的多个4妄口;接收单元20,用于从入接口接收用户终端发送的需要进行三层转发处理的数据包;出接口获取单元30,用于根据路由表项获取该数据包的出接口;隔离处理单元40,用于当入接口和出接口同属于任一隔离组时,拒绝该数据包的转发操作。本发明的路由设备中,如图5所示,还包括隔离命令输入单元50,用于根据预设的命令格式配置隔离配置单元40中的隔离组,该命令才各式中包括隔离命令名称、隔离组标识以及需要隔离的多个接口。转发处理单元60,用于当入接口和出接口不同属于预先配置的隔离组时,向出接口中的目的IP地址转发该数据包。另外,上述出接口获取单元30可以进一步包括目的IP地址获取子单元31,用于获取数据包的目的IP地址;有效地址判断子单元32,用于判断目的IP地址获取子单元31获取的目的IP地址是否为有效地址,是则通知出接口获取子单元33,否则丟弃该数据包;出接口获取子单元33,用于根据目的IP地址获取子单元31获取的目的IP地址匹配路由表的路由表项,根据匹配结果获得数据包的出接口。本发明提供的路由设备中,对于需要进行三层转发处理的数据包,根据数据包的出接口和入接口以及预先配置的隔离组,判断是否对数据包进行转发,从而只需简单的配置即可实现对用户终端的三层隔离功能。另外,使得不同网段的用户无法互访,在网络内部实现了基于三层隔离功能的网络安全。在路由设备的硬件不支持三层隔离的情况下,仍可以通过软件方式实现对用户终端的三层隔离。上述模块可以分布于一个装置,也可以分布于多个装置。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域:汰术人员可以理解实施例中的装置中的才莫块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。权利要求1、一种用户终端之间三层隔离的方法,其特征在于,包括配置至少一个隔离组,所述隔离组中包括需要两两隔离的多个接口;从入接口接收到用户终端发送的需要进行三层转发处理的数据包时,根据路由表项获取所述数据包的出接口;所述入接口和出接口同属于所述任一隔离组时,拒绝所述数据包的转发操作。2、如权利要求l所述的方法,其特征在于,所述隔离组中多个接口下的用户终端分别属于不同的网段。3、如权利要求1或2所述的方法,其特征在于,所述配置至少一个隔离组包括根据预设的命令格式配置所述隔离组,所述命令格式中包括隔离命令名称、隔离组标识以及需要两两隔离的多个4妄口。4、如权利要求1或2所述的方法,其特征在于,所述根据路由表项获取所述数据包的出接口包括获取所述数据包的目的IP地址;判断所述目的IP地址是否为有效地址,是则继续,否则丢弃所述数据包;根据所述目的IP地址匹配路由表的路由表项,根据匹配结果获得所述数据包的出4^口。5、如权利要求4所述的方法,其特征在于,还包括所述入接口和出接口不同属于所述任一隔离组时,向所述出接口中的目的IP地址转发所述数据包。6、一种路由设备,其特征在于,包括隔离配置单元,用于配置至少一个隔离组,所述隔离组中包括需要两两隔离的多个接口;接收单元,用于从入接口接收用户终端发送的需要进行三层转发处理的数据包;出接口获取单元,用于根据路由表项获取所述数据包的出接口;隔离处理单元,用于当所述入接口和出接口同属于所述任一隔离组时,拒绝所述数据包的转发操作。7、如权利要求6所述的路由设备,其特征在于,所述隔离配置单元中多个接口下的用户终端属于不同的网段。8、如权利要求7所述的路由设备,其特征在于,还包括隔离命令输入单元,用于根据预设的命令格式配置所述隔离配置单元中的隔离组,所述命令格式中包括隔离命令名称、隔离组标识以及需要两两隔离的多个接口。9、如权利要求7或8所述的路由设备,其特征在于,所述出接口获取单元包括目的IP地址获取子单元,用于获取所述数据包的目的IP地址;有效地址判断子单元,用于判断所述目的IP地址是否为有效地址,是则通知出接口获取子单元,否则丟弃所述数据包;出接口获取子单元,用于根据所述目的IP地址匹配路由表的路由表项,根据匹配结果获得所述数据包的出接口。10、如权利要求9所述的路由设备,其特征在于,还包括转发处理单元,用于当所述入接口和出接口不同属于所述任一隔离组时,向所述出接口中的目的IP地址转发所述数据包。全文摘要本发明公开了一种用户终端之间三层隔离的方法和路由设备。所述方法包括配置至少一个隔离组,所述隔离组中包括需要两两隔离的多个接口;从入接口接收到用户终端发送的需要进行三层转发处理的数据包时,根据路由表项获取所述数据包的出接口;所述入接口和出接口同属于所述任一隔离组时,拒绝所述数据包的转发操作。通过使用本发明,对于需要进行三层转发处理的数据包,根据数据包的出接口和入接口以及预先配置的隔离组,判断是否对数据包进行转发,从而只需简单的配置即可实现对用户终端的三层隔离功能。文档编号H04L12/56GK101447927SQ20081018795公开日2009年6月3日申请日期2008年12月30日优先权日2008年12月30日发明者辉王申请人:杭州华三通信技术有限公司