专利名称:用于虚拟网络的信息单向传输系统的制作方法
技术领域:
本发明涉及虚拟局域网(VLAN)的信息传输,确切地说是控制信息单向传输的系统。非常适用于技术开发中心、研究机构、需要严格对外保密的单位。
防火墙是通过设置网络的应用软件或者硬件,避免有害及不安全访问所采取的通常方式。简单地说,防火墙将所有经过它的信息进行检查,防火墙可以决定哪些内部服务可以外界访问,外界的哪些人可以访问内部的哪些服务等,防火墙只允许授权的数据通过,并配合安全策略使用,如果没有全面的安全策略,防火墙仅限于病毒防护措施就形同虚设。新的形式高级比较隐秘的病毒难以防备,而且防火墙并不是万能的,很多计算机水平相当高的操作者(例如黑客或者攻击者)可以通过多种渠道有效地避开防火墙,或者是能够欺骗防火墙,从而顺利进入到计算机系统中,同时,还存在非法使用者、过失者的问题,造成信息资源、数据流失,甚至被破坏。
所以,对于每个用户之间信息的保密,在微软公司推出的Windows 2000产品中,可以通过设置用户的权限的安全策略来进行控制,来阻隔外部的非法进入,其做法是局域网内部相互之间通过设置用户的权限,实现部分的沟通,这种控制是在客户端进行设置,且它是单纯从控制软件做阻断,不能防止水平很高的黑客或者入侵者进入,而且其安全密码可以通过告知等方式泄漏,或者使用默认设置让他人获得不应有的权限,还是可以进行非法的不允许的交流,无法完全避免用户信息的流失,保密性仍然有很大的漏洞,无法满足例如研究所、开发中心等对保密要求严格的单位的安全需求,因为上述的单位通常的要求是开发工程师除经过许可外,不允许进行横向交流,尤其是不同课题组之间的技术交流,但是其能与上级主管进行交流。
为此,一种新的局域网技术--虚拟局域网(VLAN)可以部分地解决上述问题。局域网中,网络资源是大家共享的,对外的连接,依靠路由器。而且路由器处于非常重要的地位,通过路由器,实现各种方式的对外联络及信息传递。基于上述的思路,一种虚拟局域网技术(VLAN Virtual Local Area Network)应运而生。其目的是将一个大的局域网划分为若干小的虚拟子网,使每一个子网都成为一个单独的广播域,子网之间的通讯必须通过路由设备,这样VLAN在交换机上划分后,不同VLAN之间的设备如同被物理地分割了,可以不考虑用户的地理位置,根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的网络,每个用户主机都连接在一个支持VLAN的交换机上,并属于一个VLAN,同一个VLAN中的成员都共享广播,形成一个广播域,而不同的VLAN之间广播信息是相互隔离的。同时,对于不同的VLAN之间,信息是处于保密状态的。因此,可以利用不同VLAN的划分来达到禁止横向交流的问题。
但是对于研究所或者开发中心以及其它需要严格保密的单位来说,其局域网的设置通常是独立的,通过路由器与外界连接,路由器的设置为安全的保障留下了隐患,其原因还是类似与上述的情况,入侵者可以通过路由器非法进入到各个VLAN中,盗窃数据以及技术资料,甚至破坏数据和技术资料。而没有路由器的VLAN通常被认为是不能实现的,甚至是被禁止的。
因此,提供一套行之有效的解决方案,对于解决上述单位的安全问题是相当重要的。
发明内容
上述问题,尤其是关于VLAN设置的方面是将VLAN处于整个网络连接中来实现的,并带来相应的缺点,对于单纯的研究机构或者开发中心或者需要严格对外保密的单位,其重点关注的是安全、保密的可靠性,其问题是局部、微观的,如果能够从局部出发,抛开必须与网络连接的观念以及路由的思路,可以通过VLAN很好地解决安全问题。
为了便于说明网络的连结关系,将VLAN按照其应用及级别分为管理者与被管理者,管理者可以按照其应用范围和权限根据实际情况分为A、B、C、D等级别,以确认其权限和优先级别。最小的VLAN单位为被管理者,一般情况下,为了管理方便,每个VLAN为被管理者。其直接上级的管理者为D级管理者,D级的上级管理者为C级管理者,可以根据情况依此类推,但是对于VLAN的设置,并不要求包括所有的管理级别。上述的情况只是一种对于可能发生情形的描述。
基于上述分析,本发明的目的是提出行之有效的解决方案,利用现有的虚拟局域网(VLAN)方案,取消路由器的使用,避免入侵者通过路由进行入侵或者破坏,使得达到安全可靠地保密要求。
同时,本发明的另一个目的是提供一种用于虚拟网络的信息单向传输系统,该系统可以避免每个最小开发单位之间的横向交流,使之只能与上级的管理者进行单向的交流。
本发明的另一个目的是使得上级的管理者可以阅读任意一个下级计算机的文件夹,且同级管理者或者被管理者之间不能进行交流。
本发明是这样实现的根据研究所或者开发中心的实际情况,用于虚拟网络的信息单向传输系统,其可以包含多个VLAN,VLAN由服务器、交换机和多台计算机构成,VLAN的设置通常采用30个以上的VLAN,每个VLAN之间以IP地址、MAC地址和交换机端口捆绑式结合来划分,以确定其权限和交流方向。
具体的方式是每个最小应用单位享有一个VLAN,并按照IP地址被划分为一个独立的网段,其上级管理者采用IP地址自动识别的方式,共享其下级被管理者的VLAN,且使用自动设置来分配IP地址,上述的IP地址结合交换机的端口划分,使之连接固定,只能进行单向的信息交流,使得管理者只能与其下级进行交流,而管理者或者被管理者不能横向与同级管理者或者被管理者之间进行交流,同样,被管理者与非上级的管理者之间的交流也是禁止的。
所谓的最小应用单位,是指对相同产品进行相同设计、开发或者管理的计算机单位,它可以是一台PC机,也可以是多台PC机的组合,它们具有同样的功能和用途限定,具有同等的使用权限。
实际应用中,对于每个实际的开发者、设计者或者管理者,其工作内容都不是完全重复的,最好将每台PC机设计成一个VLAN,总体上具有类似功能或者应用的PC机设置有具有管理功能的工作站,该工作站享有公共端口,能与上述的每个VLAN进行交流,但是每个VLAN之间是不能进行横向交流的。
所述的VLAN同时还可以通过MAC地址划分。由于MAC地址是全球唯一的,由它可以固定每台计算机以及VLAN的权限和应用。
MAC地址的增设,是根据每台计算机网卡的硬件地址,以及其所连接的端口,在交换机上增加其MAC地址,并指定其所属的VLAN,确定所述的端口的安全状态为静态的即可。
上述的具体的方案是每台计算机作为一个VLAN,从服务器和PC工作站上对其进行IP地址设置,管理者的IP地址段使用自动设置,被管理的计算机按照IP地址段划分;不同级别的计算机按照不同的IP地址段划分,并结合MAC地址,直接从服务器和交换机上对其进行设置。
所述的IP地址的划分,从网段1开始,各网段的前2个IP地址均留给服务器,其它的IP地址分配给个被管理者。IP地址的分配最好按照地址段指定的方式,给每个计算机指定IP地址,对于预留的两个IP地址,其中一个是预留给管理者,一个留给服务器使用。
上述的IP地址的划分,对于管理者,其计算机网卡上设置VLAN,不设置IP地址,且每个管理者的计算机与其管理的计算机共享的IP地址段中,第一个IP地址段为管理者的计算机预留。
所需要说明的是上述的IP地址的分段是为了规划设置方便、统一便于控制,更是为了获得更高的工作效率;如果PC工作站较少,划分VLAN不多,IP资源充足,也可以采用不分网段,随意划分的方式,但是一定不能引起资源的冲突,特别是在同一VLAN之中,服务器、交换机、及PC的不同设置。
所述的服务器,其端口跨越共享交换机的每一个VLAN端口,关于VLAN的共享,重在其公共端口的设置,作好IEEE 802.1Q的标记。
且对于服务器,只添加VLAN,不设置IP地址。
所述的网卡,要使服务器或特殊的PC同时成为多个VLAN的成员,必须支持IEEE的802.1Q协议,以实现不同VIAN成员在服务器指定域的范围内完成相互间的通信,网卡的设置通过规划和设置好IP的网段和地址,并采用具体的IP设置与自动识别相结合的方式,对于管理者,设置为自动识别,其它的进行具体的IP设置,这样管理者可与任意一个下级进行交流,同时由于网段的划分,使得资源得到合理的分割,即提高了效率,又不会发生冲突。
多个VLAN位于同一交换机时,可以通过端口转发信息,为了保障VLAN畅通、直接的联络,必须设置VLAN中继,即VLANTrunking,描述VLAN中继的协议为IEEE 802.1Q。
通常的VLAN设置都必须通过路由实现其网络以及信息的交流,但是路由使VLAN不能做到物理上的断开,本发明可以实现物理上的完全断开,从而避免与任何网络的单独连结,使整个VLAN系统能够独立、安全地进行运转和工作,同时可以达到对于所保密的资料(具体分布于每个被管理者之间)无法通过每个被管理者或者同级管理者实现双向交流,而只能对其上级管理者进行单向的交流,而且,此交流措施通过破解权限与密码也无法实现。
而且,本发明将局部多个VLAN之间的联系通过设置具有公共端口的VLAN连接起来,然后可以将全部的VLAN通过这种方式连接起来,形成树状的连接、交流方式,可以形成有效的单向交流方式,完全能够避免横向的交流和不允许的非法交流,从而使得整个网络具有很高的安全可靠性能。
交换机采用3COM公司的SuperStack 3 Switch 4300系列交换机,它是48端口交换机,能支持30个VLAN的设置,进行软件升级后可以达到60个VLAN,但是它对公共端口的技术支持不够,不能设置端口使其成为不属于任何VLAN的公共端口。
另外,网卡是设置虚拟局域网的必要设施,关于网卡,我们选择的是Intel公司8470C3和8460C3这两种型号的网卡,该型号的网卡支持VLAN技术IEEE 802.1Q标准。
设置服务器及工作站特殊PC的网卡,先要安装一个支持VLAN的附加程序(购买网卡时自带),然后按照其硬件所提供的说明设置即可。
交换机的VLAN端口的设置重在标记(tag)运用,即一个端口如需要与其它端口共享一个VLAN,则一定要作好标记设置,具体可参见所使用硬件设备有关设置的说明。
图1所示,交换机分别连接服务器和各个部门的PC机,并利用其端口对所连接的PC机以及服务器进行VLAN的设置,在本实施例中,每台PC作为一个VLAN。这样可以使技术开发人员的计算机之间不能相互进行信息交流,防止技术资料的流失,同时,为了进行适当的交流,允许每个技术开发人员与其上级的管理者(即D级管理者)--部门经理进行单向交流。
一般情况下,每个最小应用单位作为一个VLAN设置,最小应用单位是指对相同产品进行相同设计、开发或者管理的计算机单位,它可以是一台PC机,也可以是多台PC机的组合,它们具有同样的功能和用途限定,具有同等的使用权限。
交流的方式如图2所示。在该图中,A级管理者没有列出,可以是行政上的最高管理者,也可以是类似的管理者,如总裁;B级管理者通常是负责某个局部的工作,如果机构设置比较简练,也可以为行政最高长官,如总经理;C级管理者通常是负责指挥、协调工作的负责人,如开发部门副总经理;D级管理者则是基层的管理者,或者说是具体的开发负责人,如某个产品的开发经理、技术部负责人。
图2所示,每台PC设置为一个独立的VLAN后,每个被管理者(技术开发人员)只能与其上级的管理者(部门经理)进行单向的交流,而无法与同级的开发人员进行交流,也无法与其它不同级的管理者进行交流;对于管理者,如D级管理者,除了与下级的被管理者进行交流外,还可以与上级的C级管理者进行交流,下级的被管理者可以是一个,也可以是多个,但是无法与同级的管理者进行交流,也无法与非自己管理的下级管理者进行交流,无法与不同级的上级管理者交流;C级管理者也是这种情况。B级管理者,其上级只有一个,故不存在与上级无法交流的问题,而且对于比较简单的控制方式,通常最高管理者可以只设置到B级管理者即可。
图3所示,VLAN划分为1-40个,VLAN1为交换机默认VLAN,预留不用,其余的VLAN按照所属的部门和应用设置,例如,其中VLAN2-7为工业设计部,其服务器网卡的IP地址分配按照网段划分(图中所列),VLAN7为公共端口,不作标记,设置为D级管理者的VLAN,其IP地址采用自动识别的方式设置,VLAN2-VLAN6的端口作好标记,以便与VLAN7进行沟通,同时,划分IP地址的VLAN2-VLAN6之间不能进行交流,使得VLAN2-VLAN6只能与VLAN7进行单向的交流。
同样,根据开发的具体情况,本发明应用的开发中心分为工业设计部、系统工程部、软件部、硬件部、韧体部(firmware)以及研发部副总几个开发单位,除研发部副总外,每个开发单位的VLAN设置方法与上述的工业设计部的设置一致。
对于研发部副总(为C级管理者),其VLAN设置为VLAN39,对应于服务器网卡IP地址,也采用自动识别的方式设置,以使其能够与所有的技术人员的VLAN及部门经理(D级管理者)进行交流和调取资料。
上述VLAN的对应的线号是唯一,且与其它网卡、设备的设置对应的。
图4所示为本发明实施例C级管理者(即研发部副总)网卡的IP地址分配情况。图4中,VLAN与网卡的IP地址的分配情况以及接线的线号与图3所示服务器的设置是对应的。
工程房的VLAN18的IP地址无论在服务器网卡,还是在C级管理者(研发部副总)网卡的设置都是完全一样的。
每个技术人员(被管理者)的网卡,在服务器上的设置,其末位为“1”,C级管理者(研发部副总)的网卡上设置的末位为“3”,D级管理者(部门经理)的网卡上设置的末位为“4”(如图5所示)。
图5为本发明实施例D级管理者及被管理者的IP地址在D级管理者(部门经理)网卡上分配情况。图5中,对于D级管理者(部门经理),每个VLAN的IP地址与该VLAN的服务器网卡、C级管理者(研发部副总)网卡的IP地址是对应的。
同时,每个D级管理者(部门经理)的网卡上还自动识别C级管理者(研发部副总)的IP地址。
对于每个VLAN的分配线号,该图所示的与图3、图4一致。
图6为本发明实施例交换机的端口设置分配情况的说明。图6所示,交换机按照顺序将其端口依次分配为工业设计部、系统工程部、韧体部、工程房、软件部及硬件部的VLAN,其中,VLAN7、VLAN12、VLAN16、VLAN29、VLAN38为各个部门的部门经理(D级管理者)的VLAN,它们分别能够与其部门的各个VLAN交流。
其中,Server(服务器)1b(缩写为S1b)端口跨越共享该交换机的每一个VLAN端口。
至于具体VLAN的设置方法等,现有技术已经充分公开过,而且关于IEEE 802.1Q标准中也有相应的规定,在此不作详细说明。
前面所描述的是本发明的一种比较好的实施例,并不是实现本发明的唯一手段,也可以选择不偏离本发明范围和目的的其它实施方式来实现。
权利要求
1.一种用于虚拟网络的信息单向传输系统,其可以包含多个VLAN,VLAN由服务器、交换机和多台计算机构成,其特征在于VLAN的设置通常采用30个以上的VLAN,每个VLAN之间以IP地址、MAC地址和交换机端口捆绑式结合来划分,以确定其权限和交流方向。
2.如权利要求1所述的用于虚拟网络的信息单向传输系统,其特征在于每个最小应用单位享有一个VLAN,并按照IP地址被划分为一个独立的网段,其上级管理者采用IP地址自动识别的方式,共享其下级被管理者的VLAN,且使用自动设置来分配IP地址,上述的IP地址结合交换机的端口划分,使之连接固定,只能进行单向的信息交流。
3.如权利要求2所述的用于虚拟网络的信息单向传输系统,其特征在于最小应用单位,是指对相同产品进行相同设计、开发或者管理的计算机单位,它可以是一台PC机,也可以是多台PC机的组合,它们具有同样的功能和用途限定,具有同等的使用权限。
4.如权利要求1所述的用于虚拟网络的信息单向传输系统,其特征在于将每台PC机设计成一个VLAN,总体上具有类似功能或者应用的PC机设置有具有管理功能的工作站,该工作站享有公共端口,能与上述的每个VLAN进行交流,但是每个VLAN之间是不能进行横向交流的。
5.如权利要求1所述的用于虚拟网络的信息单向传输系统,其特征在于所述的VLAN同时还可以通过MAC地址划分。
6.如权利要求5所述的用于虚拟网络的信息单向传输系统,其特征在于MAC地址的增设,是根据每台计算机网卡的硬件地址,以及其所连接的端口,在交换机上增加其MAC地址,并指定其所属的VLAN,确定所述的端口的安全状态为静态的即可。
7.如权利要求4或6所述的用于虚拟网络的信息单向传输系统,其特征在于将每台计算机作为一个VLAN,从服务器和PC工作站上对其进行IP地址设置,管理者的IP地址段使用自动设置,被管理的计算机按照IP地址段划分;不同级别的计算机按照不同的IP地址段划分,并结合MAC地址,直接从服务器和交换机上对其进行设置。
8.如权利要求1或2所述的用于虚拟网络的信息单向传输系统,其特征在于所述的IP地址的划分,从网段1开始,各网段的前2个IP地址均留给服务器,其它的IP地址分配给个被管理者。IP地址的分配最好按照地址段指定的方式,给每个计算机指定IP地址,对于预留的两个IP地址,其中一个是预留给管理者,一个留给服务器使用。
9.如权利要求8所述的用于虚拟网络的信息单向传输系统,其特征在于上述的IP地址的划分,对于管理者,其计算机网卡上设置VLAN,不设置IP地址,且每个管理者的计算机与其管理的计算机共享的IP地址段中,第一个IP地址段为管理者的计算机预留。
10.如权利要求1所述的用于虚拟网络的信息单向传输系统,其特征在于所述的服务器,其端口跨越共享交换机的每一个VLAN端口,关于VLAN的共享,重在其公共端口的设置,作好IEEE 802.1Q的标记。
11.如权利要求1所述的用于虚拟网络的信息单向传输系统,其特征在于且对于服务器,只添加VLAN,不设置IP地址。
12如权利要求1所述的用于虚拟网络的信息单向传输系统,其特征在于所述的网卡,要使服务器或特殊的PC同时成为多个VLAN的成员,必须支持IEEE的802.1Q协议,以实现不同VLAN成员在服务器指定域的范围内完成相互间的通信,网卡的设置通过规划和设置好IP的网段和地址,并采用具体的IP设置与自动识别相结合的方式,对于管理者,设置为自动识别,其它的进行具体的IP设置。
13.如权利要求1所述的用于虚拟网络的信息单向传输系统,其特征在于多个VLAN位于同一交换机时,可以通过端口转发信息,为了保障VLAN畅通、直接的联络,必须设置VLAN中继,即VLANTrunking,描述VLAN中继的协议为IEEE 802.1Q。
14.如权利要求2或4所述的用于虚拟网络的信息单向传输系统,其特征在于对于最小应用单位及其管理者,服务器网卡的IP地址分配按照网段划分,管理者的VLAN设置为公共端口,不作标记,并设置为D级管理者的VLAN,其IP地址采用自动识别的方式设置,每个最小应用单位的VLAN端口作好标记,以便与管理者的VLAN进行沟通。
全文摘要
本发明公开了用于虚拟网络的信息单向传输系统,其可以包含多个VLAN,VLAN由服务器、交换机和多台计算机构成,VLAN的设置通常采用30个以上的VLAN,每个VLAN之间以IP地址、MAC地址和交换机端口捆绑式结合来划分,以确定其权限和交流方向。利用现有的虚拟局域网(VLAN)方案,取消路由器的使用,避免入侵者通过路由进行入侵或者破坏,使得达到安全可靠地保密要求。
文档编号G06F12/14GK1469253SQ0212428
公开日2004年1月21日 申请日期2002年7月15日 优先权日2002年7月15日
发明者孙贵奇, 孙贵明 申请人:深圳麦士威科技有限公司