专利名称:一种基于三层交换机多vlan环境下集中过滤网络数据包的方法
技术领域:
本发明涉及的是一种在三层交换机多VLAN环境下对局域网电脑的上网行为、上网内容进行控制、过滤和记录的方法
背景技术:
当前一般的过滤软件在控制三层交换机多VLAN的网络环境下电脑的上网行为,常常需要将过滤软件所在的网络设备串接在三层交换机上面和出口网关设备之间,通过安装过滤软件的网络设备的一个接口连接三层交换机缺省路由所在的VLAN的一个端口,另 一个接口连接出口网关设备,并且使得两个接口通过搭建网络桥的方式来实现通讯,然后过滤软件通过捕获经过网络桥的局域网电脑的上下行数据报文的方式来实现对局域网电脑上网行为和上网内容进行监控。但是,这种过滤软件的部署方式,一方面需要部署专门的网络设备,并且在监控设备安装两个网卡,并需要将两个网卡搭建网络桥,这种方式加大了部署过滤软件的成本,设置也较为复杂,增加了网管人员的工作量;另一方面,由于局域网电脑的上下行数据报文均通过网络桥进行传输,这使得一旦过滤软件所依附的网络设备出现单点故障,将会使得整个局域网的公网通讯被切断,从而使得局域网大面积断网、掉线的现象,对局域网通讯的安全、稳定和畅通造成较为严重的危害。本发明的独到之处就是通过将过滤软件所在的网络设备直接连接到三层交换机直连出口网关的所在VLAN内一个端口上,并将过滤软件所在的网络设备的网关的IP地址设置为出口网关设备的IP地址,这样滤软件所在的网络设备就可以直接和出口网关设备进行通讯了,然后将三层交换机出口网关的IP地址更改为安装过滤软件的网络设备的IP地址,这样也就使得三层交换机所划分的各个VLAN内的电脑的数据报文都发向了过滤软件所在的网络设备,过滤软件对于收到的数据报文安装既定的过滤、控制规则进行匹配,以此来决定是否放行并转发到出口网关或者丢弃以阻止电脑的上网行为。通过这种部署过滤软件的方式,一方面可以降低部署过滤软件的成本,无需专门的网络设备、也不需要部署双网卡;另一方面,当过滤软件所在的网络设备出现故障的时候,可以直接登录三层交换机将出口网关的IP更改为出口网关的真实的IP地址,从而可以保证网络不至于出现中断、掉线的现象。
发明内容
随着网络技术的发展,企业大都踏上了互联网的快车,纷纷采用各种网络技术、电子技术来通过网络进行工作但是由于网络的无限开放性,以及对网络有效管理的缺失,给广大企业事业单位带来极大的网络管理问题。如员工在工作时间在网络上用各种P2P软件下载大量的娱乐资料,这些P2P工具可以耗尽企业的带宽,导致了企业正常的网络无法使用;同时,员工还浏览大量与工作无关的网址,如色情、反动、暴力等,造成了极坏的影响,浪费了工作时间,还容易导致网络病毒泛滥,严重影响企业的正常工作,降低了工作效率;同时,由于网络传输的便捷性,使得高速的资料传输成为可能,某些员工通过邮件、HTTP/FTP传输、聊天等方式把企业重要的商业机密、专有技术盗取并谋取私利,严重危害了企业的利益,给企业带来重大损失。综上所述,一套行之有效的网络管理系统就成为企业网络管
理的必需。本发明技术方案如下首先,需要将安装过滤软件的网络设备(可以是普通电脑、服务器或者嵌入式、工业控制机等),直接连接到三层交换机直连上层出口网关设备的VLAN所在的一个端口上,并且将此网络设备的网关的IP地址更改为出口网关设备的IP地址,这样安装过滤软件的网络设备就可以和出口网关设备进行通讯;然后将三层交换机出口网关的IP地址更改为安装过滤软件的网络设备的IP地址,这样局域网各个VLAN的电脑的数据报文就直接发送的过滤软件所在的网络设备了,然后过滤软件将捕获到的局域网电脑的数据报文按照既定的过滤、控制和转发规则进行处理,并决定是否转发到出口网关设备或者直接丢弃的方式来达到控制局域网电脑上网行为和上网内容的目的。按照本软件的技术特征,可以用任意的编程语言来实现。依照本原理编写的过滤 软件由于是部署在三层交换机的直连上层出口网关设备的VLAN内,从而可以实现对三层交换机划分多个VLAN的大规模网络环境下电脑的集中监控;同时,这种部署过滤软件的方式可以避免将过滤设备串接到三层交换机和出口网关设备之间,从而避免了单点故障;由于不需要部署双网卡,从而也降低了部署过滤软件的成本开支;同时,一旦过滤软件所在的网络设备出现问题,可以迅速将三层交换机各个VLAN的静态路由IP地址更改为出口网关设备的IP地址,从而可以保证网络通讯不至于出现中断,不会导致内网出现大面积断网、掉线的现象,保证了网络的安全、稳定和畅通。
具体实施例方式在实际部署中,要根据三层交换机的VLAN划分来部署过滤软件。例如,三层交换机直连出口网关设备的VLAN的虚拟接口的IP地址是192. 168. I. 1,那么三层交换机的所有VLAN的虚拟接口的静态路由都会指向192. 168. I. I,并且所有VLAN的所有电脑的数据报文均由192. 168. I. I地址向出口网关设备192. 168. I. 254转发(假设出口网关设备IP地址为192. 168. I. 254)。那么我们可以将过滤软件所在的网络设备接入到三层交换机直连出口网关设备的VLAN的一个端口上,然后将其IP地址设置为192. 168. I. 253,网关的IP地址设置为192. 168. I. 254,这样我们就可以直接和出口网关设备进行通讯了 ;然后将三层交换机出口网关的IP地址由先前的192. 168. I. 254更改为192. 168. I. 253,这样三层交换机所有VLAN的数据包都会经由192. 168. I. I发送到过滤软件所在的网络设备192. 168. I. 253,然后过滤软件根据既定的控制、过滤和转发规则对收到的数据报文进行处理后决定是否转发到出口网关设备192. 168. I. 254或者直接丢弃,以此来达到控制局域网电脑上网行为和上网内容的目的。
权利要求
1.一种基于三层交换机多VLAN环境下集中过滤网络数据包的方法。通过将安装过滤软件的网络设备直接连接到三层交换机直连出口网关设备所在的VLAN的一个端口上,然后将安装过滤软件的网络设备的网关的IP地址设置为出口网关设备的IP地址,这样安装过滤软件的网络设备就可以直接和出口网关设备进行通讯了,然后将三层交换机各个VLAN的静态网关IP地址更改为安装过滤软件的网络设备的IP地址。这样,三层交换机所划分的所有VLAN的电脑的数据报文就可以发送到过滤软件所在的网络设备,然后由过滤软件对数据报文进行解析,识别出电脑的具体的上网行为和上网内容,并根据过滤软件集成的过滤、控制规则对捕获到的数据报文进行放行并转发到出口网关设备或者丢弃而不转发的方式来实现对局域网所有电脑的上网行为进行控制的一种方法。
全文摘要
本发明涉及的是一种基于三层交换机多VLAN环境下集中过滤网络数据包的方法。本方法通过将安装过滤软件的网络设备直接连接到划分网段的三层交换机上直连出口网关设备的网段内的一个端口上,并且将此网络设备的网关的IP地址设置为出口网关设备的IP地址,这样此网络设备就可以和出口网关设备进行直接通讯了,然后将三层交换机出口网关的IP地址更改为安装过滤软件的网络设备的IP地址,这样即可捕获到局域网所有电脑的公网报文,通过过滤软件既定的控制、过滤和转发规则对这些报文进行处理,以此来实现对局域网电脑上网行为和上网内容的控制。
文档编号H04L29/12GK102739512SQ20111019849
公开日2012年10月17日 申请日期2011年7月15日 优先权日2011年3月30日
发明者陈世杰 申请人:大势至(北京)软件工程有限公司