专利名称:一种控制同一广播域内pc互访的虚拟vlan方法
技术领域:
本发明涉及计算机网络,具体涉及ー种控制同一广播域内PC互访的虚拟VLAN方法。
背景技术:
局域网通常是ー个単独的广播域,主要由Hub、网桥或交換机等网路设备连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信,而处于不同局域网段的设备之间的通信则必须经过路由器才能通信。随着网络的不断扩展,接入设备逐渐增多,网络结构也日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互联。
而虚拟局域网VLAN含一组逻辑上的设备和用户,根据功能、部门类别及应用需求等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一祥,不同VLAN内的报文在传输时是相互隔离的,即ー个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备来实现。然而,随着网络的迅速发展,用户对于网络数据通信的安全情提出了更高的要求,诸如防范黑客攻击、控制病毒传播等,都要求保证网络用户通信的相对安全性;传统的解决方法是给每个客户分配ー个VLAN和相关的IP子网,通过使用VLAN,每个客户被从第2层隔离开,可以防止任何恶意的行为和Ethernet的信息探听。然而,这种分配每个客户单ーVLAN和IP子网的模型造成了巨大的可扩展方面的局限,其主要表现在以下几点I、VLAN的限制交换机固有的VLAN数目的限制;2、复杂的STP :对于每个VLAN,每个相关的Spanning Tree的拓扑都需要管理;3、IP地址的紧缺IP子网的划分势必造成ー些IP地址的浪费;4、路由的限制每个子网都需要相应的默认网关的配置。
发明内容
针对上述现有技术中存在的诸多问题,本发明的目的是提出一种控制同一广播域内PC互访的虚拟VLAN方法,以解决上述问题。本发明解决其技术问题所采用的技术方案是一种控制同一广播域内PC互访的虚拟VLAN方法,其是由客户端基于MAC地址的控制方法来实现的,其具体包括通过TPN客户端添加信任的MAC地址;针对用户组的权限设置,设置用户组之间的互访权限;在通过TPN客户端成功登陆后,网关根据跨组访问中设置的权限,将信任MAC中可以访问的MAC地址下发至带有虚拟VLAN功能的用户的客户端;用户通过带有虚拟VLAN功能的用户客户端访问其他用户时,客户端判断访问用户的MAC地址是否在信任MAC中,若存在,则直接放行,否则不允许访问。
所述添加信任的MAC地址分为自动添加动态MAC地址和手动添加静态MAC地址两种方法实现。由于客户端基于MAC地址的控制方法只能控制同一网段的用户,因此下述提供另一种控制方法。一种控制同一广播域内PC互访的虚拟VLAN方法,其是由客户端基于IP地址的控制方法来实现的,其具体包括配置所需的IP控制范围;通过TPN客户端添加信任的IP地址;针对用户组的权限设置,设置用户组之间的互访权限;
在通过TPN客户端成功登陆后,网关根据跨组访问中设置的权限,将信任IP中可以访问的IP地址下发至带有虚拟VLAN功能的用户的客户端;用户通过带有虚拟VLAN功能的用户客户端访问其他用户时,客户端判断访问用户的IP地址是否在IP控制范围内,如果不在范围内,则直接放行,否则再检查访问的IP地址是否在信任的IP中,若存在,直接放行,否则不允许访问。所述添加信任的IP地址分为自动添加动态的IP地址和手动添加静态的IP地址两种方法实现。另外,针对上述两种实现方法,本发明还提供了ー种将上述两种方法相结合的控制方法,其具体如下一种控制同一广播域内PC互访的虚拟VLAN方法,所述方法是由客户端基于MAC地址控制和基于IP地址控制两种方法相结合而实现的,其具体实施步骤如下配置所需的IP控制范围;通过TPN客户端添加信任的IP地址和MAC地址;针对用户组的权限设置,设置用户组之间的互访权限;在通过TPN客户端成功登陆后,网关根据跨组访问中设置的权限,将信任IP地址和信任MAC地址中可以访问的IP地址和MAC地址下发至带有虚拟VLAN功能的用户的客户端;用户通过带有虚拟VLAN功能的用户客户端访问其他用户时,客户端判断访问用户的IP地址和MAC地址是否同时在IP控制范围和信任的MAC地址中,若同时存在,则直接放行,否则再判断用户MAC地址和IP地址是否同时存在于信任MAC地址和信任IP地址中,若同时存在,则放行,若不同时存在,则不允许访问。本发明的有益效果是采用本发明具备以下优点I、广播风暴防范将同一局域网的PC划分为多个虚拟局域网后,相当于将各个VLAN变成了ー个个“围城”,这就减少了參与广播风暴的设备数量。2、可提高网络的安全性将含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。将达到相应安全等级(比如是否安装了杀毒软件、是否需要补丁更新、是否有相关进程等)的用户组与其他用户组隔离,从而达到逻辑工作组内部的安全性。
3、成本降低局域网中划分逻辑VLAN,在不需要投入其他硬件设备(如支持VLAN的交换机)的前提下,就满足不同安全等级或不同组的用户进行逻辑隔离的要求,从而大大降低了成本。4、性能提高将第二层平面网络划分为多个逻辑工作组(广播域),可以减少网络上不必要的流量并提闻性能。5、增加了网络连接的灵活性借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN —祥方便、灵活、有效。VLAN可以降低移动或变更工作站地理 位置的管理费用,特别是一些业务情况有经常性变动的公司使用了 VLAN后,这部分管理费用大大降低。
图I是本发明的系统结构示意图;图2是本发明基于MAC地址的控制方法流程图;图3是本发明基于IP地址的控制方法流程图;图4是本发明基于MAC地址和IP地址的控制方法流程图。
具体实施例方式现在结合附图对本发明作进ー步详细的说明。这些附图均为简化的示意图,仅以示意方式说明本发明的基本结构,因此其仅显示与本发明有关的构成。如图I所示,为本发明在网路中的结构示意图,包括一以太网交换机100和若干个客户端200、组成的局域网网络结构;在上述局域网结构基础上,本发明提出了一种控制同一广播域内PC互访的虚拟VLAN方法,其具体实现方法可分为3种,具体分别如下附图2所示的是第一种客户端基于MAC地址的控制方法,其具体包括通过TPN客户端添加信任的MAC地址;针对用户组的权限设置,设置用户组之间的互访权限;在通过TPN客户端成功登陆后,网关根据跨组访问中设置的权限,将信任MAC中可以访问的MAC地址下发至带有虚拟VLAN功能的用户的客户端;用户通过带有虚拟VLAN功能的用户客户端访问其他用户时,客户端判断访问用户的MAC地址是否在信任MAC中,若存在,则直接放行,否则不允许访问。所述添加信任的MAC地址分为自动添加动态MAC地址和手动添加静态MAC地址两种方法实现。附图3所示的是第二种客户端基于IP地址的控制方法,其具体包括配置所需的IP控制范围;通过TPN客户端添加信任的IP地址;针对用户组的权限设置,设置用户组之间的互访权限;在通过TPN客户端成功登陆后,网关根据跨组访问中设置的权限,将信任IP中可以访问的IP地址下发至带有虚拟VLAN功能的用户的客户端;用户通过带有虚拟VLAN功能的用户客户端访问其他用户时,客户端判断访问用户的IP地址是否在IP控制范围内,如果不在范围内,则直接放行,否则再检查访问的IP地址是否在信任的IP中,若存在,直接放行,否则不允许访问。所述添加信任的IP地址分为自动添加动态的IP地址和手动添加静态的IP地址两种方法实现。附图4,是将附图2与附图3中所示的2种方法相结合的方法,即客户端基于MAC地址控制和基于IP地址控制的方法,其具体包括配置所需的IP控制范围;通过TPN客户端添加信任的IP地址和MAC地址; 针对用户组的权限设置,设置用户组之间的互访权限;在通过TPN客户端成功登陆后,网关根据跨组访问中设置的权限,将信任IP地址和信任MAC地址中可以访问的IP地址和MAC地址下发至带有虚拟VLAN功能的用户的客户端;用户通过带有虚拟VLAN功能的用户客户端访问其他用户时,客户端判断访问用户的IP地址和MAC地址是否同时在IP控制范围和信任的MAC地址中,若同时存在,则直接放行,否则再判断用户MAC地址和IP地址是否同时存在于信任MAC地址和信任IP地址中,若同时存在,则放行,若不同时存在,则不允许访问。采用本发明上述的三种方式,就可以实现在不需要三层交换机的情况下,就可以有效的将一个单位不同部门的主机単独隔离到一个虚拟VLAN中,同时确保了重要材料的安全。以上所述的利用较佳的实施例详细说明本发明,而非限制本发明的范围。本领域技术人员可通过阅读本发明后,做出细微的改变和调整,仍将不失为本发明的要义所在,亦不脱离本发明的精神和范围。
权利要求
1.一种控制同一广播域内PC互访的虚拟VLAN方法,其特征在于,所述方法是由客户端基于MAC地址的控制方法来实现的,具体包括 通过TPN客户端添加信任的MAC地址; 针对用户组的权限设置,设置用户组之间的互访权限; 在通过TPN客户端成功登陆后,网关根据跨组访问中设置的权限,将信任MAC中可以访问的MAC地址下发至带有虚拟VLAN功能的用户的客户端; 用户通过带有虚拟VLAN功能的用户客户端访问其他用户时,客户端判断访问用户的MAC地址是否在信任MAC中,若存在,则直接放行,否则不允许访问。
2.如权利要求I所述的一种控制同一广播域内PC互访的虚拟VLAN方法,其特征在于,所述添加信任的MAC地址分为自动添加动态MAC地址和手动添加静态MAC地址两种方法实现。
3.—种控制同一广播域内PC互访的虚拟VLAN方法,其特征在于,所述方法由客户端基于IP地址的控制方法来实现的,具体包括 配置所需的IP控制范围; 通过TPN客户端添加信任的IP地址; 针对用户组的权限设置,设置用户组之间的互访权限; 在通过TPN客户端成功登陆后,网关根据跨组访问中设置的权限,将信任IP中可以访问的IP地址下发至带有虚拟VLAN功能的用户的客户端; 用户通过带有虚拟VLAN功能的用户客户端访问其他用户时,客户端判断访问用户的IP地址是否在IP控制范围内,如果不在范围内,则直接放行,否则再检查访问的IP地址是否在信任的IP中,若存在,直接放行,否则不允许访问。
4.如权利要求3所述的一种控制同一广播域内PC互访的虚拟VLAN方法,其特征在于,所述添加信任的IP地址分为自动添加动态的IP地址和手动添加静态的IP地址两种方法实现。
5.一种控制同一广播域内PC互访的虚拟VLAN方法,其特征在于,所述方法是由客户端基于MAC地址控制和基于IP地址控制两种方法相结合而实现的,其具体包括 配置所需的IP控制范围; 通过TPN客户端添加信任的IP地址和MAC地址; 针对用户组的权限设置,设置用户组之间的互访权限; 在通过TPN客户端成功登陆后,网关根据跨组访问中设置的权限,将信任IP地址和信任MAC地址中可以访问的IP地址和MAC地址下发至带有虚拟VLAN功能的用户的客户端;用户通过带有虚拟VLAN功能的用户客户端访问其他用户时,客户端判断访问用户的IP地址和MAC地址是否同时在IP控制范围和信任的MAC地址中,若同时存在,则直接放行,否则再判断用户MAC地址和IP地址是否同时存在于信任MAC地址和信任IP地址中,若同时存在,则放行,若不同时存在,则不允许访问。
全文摘要
本发明公开了一种控制同一广播域内PC互访的虚拟VLAN方法,所述方法可分别由基于MAC地址的控制方法或基于IP地址的控制方法或基于MAC地址和IP地址相结合的控制方法来实现。采用本发明上述的三种方式,就可以实现在不需要三层交换机的情况下,就可以有效的将一个单位不同部门的主机单独隔离到一个虚拟VLAN中,同时确保了重要材料的安全。
文档编号H04L29/06GK102790711SQ201210250010
公开日2012年11月21日 申请日期2012年7月19日 优先权日2012年7月19日
发明者娄宏跃, 李锟 申请人:上海安达通信息安全技术股份有限公司