本发明涉及的是一种在三层交换机多网段环境下对局域网电脑的上网行为、上网内容进行控制、过滤和记录的方法。
背景技术:
当前一般的网管软件在控制三层交换机多网段的网络环境下电脑的上网行为,常常需要将网管软件所在的网络设备串接在三层交换机上面和出口网关设备之间,通过安装网管软件的网络设备的一个接口连接三层交换机静态路由所在的网段的一个端口,另一个接口连接出口网关设备,并且使得两个接口通过搭建网络桥的方式来实现通讯,然后网管软件通过捕获经过网络桥的局域网电脑的上下行数据报文的方式来实现对局域网电脑上网行为和上网内容进行监控。但是,这种网管软件的部署方式,一方面需要部署专门的网络设备,并且在监控设备安装两个网卡,并需要将两个网卡搭建网络桥,这种方式加大了部署网管软件的成本,设置也较为复杂,增加了网管人员的工作量;另一方面,由于局域网电脑的上下行数据报文均通过网络桥进行传输,这使得一旦网管软件所依附的网络设备出现单点故障,将会使得整个局域网的公网通讯被切断,从而使得局域网大面积断网、掉线的现象,对局域网通讯的安全、稳定和畅通造成较为严重的危害。
本发明的独到之处就是:通过将网管软件所在的网络设备直接连接到三层交换机直连出口网关的所在网段内一个端口上,并将网管软件所在的网络设备的网关的IP地址设置为出口网关设备的IP地址,这样即可与出口网关设备进行通讯,然后网管软件通过向三层交换机直连出口网关的虚拟接口发送ARP报文信息,将虚拟接口ARP表中所存储的出口网关设备的MAC地址更改为安装网管软件的网络设备的MAC地址,这样三层交换机所划分的各个网段内的电脑的数据报文都发向了网管软件所在的网络设备,网管软件对于收到的数据报文安装既定的过滤、控制规则进行匹配,以此来决定是否放行并转发到出口网关或者丢弃以阻止电脑的上网行为。通过这种部署网管软件的方式,一方面可以降低部署网管软件的成本,无需专门的网络设备、也不需要部署双网卡;另一面,当网管软件设备出现故障的时候,由于出口网关设备会定时向三层交换机的静态路由所在的虚拟接口发送出口网关设备的IP和MAC地址信息,从而可以三层交换机的静态路由的虚拟接口ARP表中所存储的网关的MAC地址纠正过来并直接指向出口网关设备,从而自动实现网络恢复,不至于出现网络大面积断网和掉线的现象,从而保护了网络的安全、稳定和畅通。
技术实现要素:
随着网络技术的发展,企业大都踏上了互联网的快车,纷纷采用各种网络技术、电子技术来通过网络进行工作:但是由于网络的无限开放性,以及对网络有效管理的缺失,给广大企业事业单位带来极大的网络管理问题。如:员工在工作时间在网络上用各种P2P软件下载大量的娱乐资料,这些P2P工具可以耗尽企业的带宽,导致了企业正常的网络无法使用;同时,员工还浏览大量与工作无关的网址,如色情、反动、暴力等,造成了极坏的影响,浪费了工作时间,还容易导致网络病毒泛滥,严重影响企业的正常工作,降低了工作效率;同时,由于网络传输的便捷性,使得高速的资料传输成为可能,某些员工通过邮件、HTTP/FTP传输、聊天等方式把企业重要的商业机密、专有技术盗取并谋取私利,严重危害了企业的利益,给企业带来重大损失。综上所述,一套行之有效的网络管理系统就成为企业网络管理的必需。
本发明技术方案如下:首先,需要将安装网管软件的网络设备(可以是普通电脑、服务器或者嵌入式、工业控制机等),直接连接到三层交换机直连上层出口网关设备的网段所在的一个端口上,并将此网络设备的网关的IP地址设置为出口网关设备的IP地址,这样安装网管软件的网络设备也就可以和出口网关设备进行通讯;而网管软件通过向直连出口网关设备的三层交换机的静态路由所在的虚拟接口发送ARP报文,将虚拟接口的ARP表中所存储的网关设备的MAC地址更改为网管软件所在的网络设备的MAC地址,这样局域网各个网段的电脑的数据报文就直接发送的网管软件所在的网络设备了,然后网管软件将捕获到的局域网电脑的数据报文按照既定的过滤、控制和转发规则进行处理,并决定是否转发到出口网关设备或者直接丢弃的方式来达到控制局域网电脑上网行为和上网内容的目的。
按照本软件的技术特征,可以用任意的编程语言来实现。依照本原理编写的网管软件由于是部署在三层交换机的直连上层出口网关设备的网段内,从而可以实现对三层交换机划分多个网段的大规模网络环境下电脑的集中监控;同时,网管软件由于可以随时发送ARP报文对虚拟接口所存储的ARP表中的网关的MAC地址进行更改,所以也可以在特殊情况下可以迅速发送ARP恢复报文,将虚拟接口ARP表中存储的网关的MAC地址更改为出口网关设备的MAC地址,这样可以迅速解除监控,而不需要调整网络结构、无需人工干预,帮助网管实现智能管理。
具体实施方式
在实际部署中,要根据三层交换机的网段划分来部署网管软件。例如,三层交换机直连出口网关设备的网段的虚拟接口的IP地址是192.168.1.1,那么三层交换机的所有网段的虚拟接口的静态路由都会指向192.168.1.1,并且所有网段的所有电脑的数据报文均由192.168.1.1所在的虚拟接口向出口网关设备(假设为192.168.1.254,00-0b-2f-03-dc-9c)转发。那么,我们可以将网管软件所在的网络设备接入到三层交换机直连出口网关设备的网段的一个端口上,然后将其IP地址设置为192.168.1.2,网关的IP地址设置为192.168.1.254,这样我们就可以直接和出口网关设备进行通讯了;然后网管软件会向虚拟接口192.168.1.1发送ARP报文信息,将虚拟接口的ARP表中存储的网关的MAC地址00-0b-2f-03-dc-9c更改为部署网管软件的网络设备的MAC地址(假设为00-19-5b-14-f7-50),这样三层交换机所有网段的数据包都会发送到网管软件所在的MAC地址00-19-5b-14-f7-50,然后网管软件根据既定的控制、过滤和转发规则对数据报文进行处理后决定是否转发到出口网关设备或者直接丢弃,以此来达到控制局域网电脑上网行为和上网内容的目的。