專利名稱:用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng)的制作方法
技術(shù)領域:
本發(fā)明涉及虛擬局域網(wǎng)(VLAN)的信息傳輸�,確切地說是控制信息單向傳輸?shù)南到y(tǒng)。非常適用于技術(shù)開發(fā)中心、研究機構(gòu)���、需要嚴格對外保密的單位��。
防火墻是通過設置網(wǎng)絡的應用軟件或者硬件���,避免有害及不安全訪問所采取的通常方式。簡單地說����,防火墻將所有經(jīng)過它的信息進行檢查,防火墻可以決定哪些內(nèi)部服務可以外界訪問�,外界的哪些人可以訪問內(nèi)部的哪些服務等,防火墻只允許授權(quán)的數(shù)據(jù)通過�����,并配合安全策略使用����,如果沒有全面的安全策略,防火墻僅限于病毒防護措施就形同虛設�����。新的形式高級比較隱秘的病毒難以防備,而且防火墻并不是萬能的�����,很多計算機水平相當高的操作者(例如黑客或者攻擊者)可以通過多種渠道有效地避開防火墻��,或者是能夠欺騙防火墻��,從而順利進入到計算機系統(tǒng)中�,同時���,還存在非法使用者����、過失者的問題��,造成信息資源�����、數(shù)據(jù)流失�,甚至被破壞。
所以�����,對于每個用戶之間信息的保密,在微軟公司推出的Windows 2000產(chǎn)品中����,可以通過設置用戶的權(quán)限的安全策略來進行控制,來阻隔外部的非法進入��,其做法是局域網(wǎng)內(nèi)部相互之間通過設置用戶的權(quán)限����,實現(xiàn)部分的溝通,這種控制是在客戶端進行設置�,且它是單純從控制軟件做阻斷,不能防止水平很高的黑客或者入侵者進入����,而且其安全密碼可以通過告知等方式泄漏,或者使用默認設置讓他人獲得不應有的權(quán)限�,還是可以進行非法的不允許的交流,無法完全避免用戶信息的流失���,保密性仍然有很大的漏洞����,無法滿足例如研究所、開發(fā)中心等對保密要求嚴格的單位的安全需求����,因為上述的單位通常的要求是開發(fā)工程師除經(jīng)過許可外,不允許進行橫向交流�,尤其是不同課題組之間的技術(shù)交流,但是其能與上級主管進行交流����。
為此��,一種新的局域網(wǎng)技術(shù)--虛擬局域網(wǎng)(VLAN)可以部分地解決上述問題�。局域網(wǎng)中,網(wǎng)絡資源是大家共享的�����,對外的連接�����,依靠路由器���。而且路由器處于非常重要的地位����,通過路由器,實現(xiàn)各種方式的對外聯(lián)絡及信息傳遞��?;谏鲜龅乃悸罚环N虛擬局域網(wǎng)技術(shù)(VLAN Virtual Local Area Network)應運而生����。其目的是將一個大的局域網(wǎng)劃分為若干小的虛擬子網(wǎng),使每一個子網(wǎng)都成為一個單獨的廣播域�����,子網(wǎng)之間的通訊必須通過路由設備�����,這樣VLAN在交換機上劃分后����,不同VLAN之間的設備如同被物理地分割了,可以不考慮用戶的地理位置���,根據(jù)功能�、應用等因素將用戶從邏輯上劃分為一個個功能相對獨立的網(wǎng)絡,每個用戶主機都連接在一個支持VLAN的交換機上����,并屬于一個VLAN,同一個VLAN中的成員都共享廣播��,形成一個廣播域�,而不同的VLAN之間廣播信息是相互隔離的。同時�,對于不同的VLAN之間,信息是處于保密狀態(tài)的�����。因此��,可以利用不同VLAN的劃分來達到禁止橫向交流的問題�。
但是對于研究所或者開發(fā)中心以及其它需要嚴格保密的單位來說�,其局域網(wǎng)的設置通常是獨立的,通過路由器與外界連接����,路由器的設置為安全的保障留下了隱患,其原因還是類似與上述的情況�����,入侵者可以通過路由器非法進入到各個VLAN中,盜竊數(shù)據(jù)以及技術(shù)資料�,甚至破壞數(shù)據(jù)和技術(shù)資料。而沒有路由器的VLAN通常被認為是不能實現(xiàn)的�����,甚至是被禁止的��。
因此���,提供一套行之有效的解決方案��,對于解決上述單位的安全問題是相當重要的��。
發(fā)明內(nèi)容
上述問題�����,尤其是關(guān)于VLAN設置的方面是將VLAN處于整個網(wǎng)絡連接中來實現(xiàn)的����,并帶來相應的缺點,對于單純的研究機構(gòu)或者開發(fā)中心或者需要嚴格對外保密的單位����,其重點關(guān)注的是安全、保密的可靠性�,其問題是局部、微觀的�,如果能夠從局部出發(fā),拋開必須與網(wǎng)絡連接的觀念以及路由的思路��,可以通過VLAN很好地解決安全問題����。
為了便于說明網(wǎng)絡的連結(jié)關(guān)系,將VLAN按照其應用及級別分為管理者與被管理者����,管理者可以按照其應用范圍和權(quán)限根據(jù)實際情況分為A、B�����、C���、D等級別,以確認其權(quán)限和優(yōu)先級別。最小的VLAN單位為被管理者����,一般情況下,為了管理方便���,每個VLAN為被管理者����。其直接上級的管理者為D級管理者����,D級的上級管理者為C級管理者,可以根據(jù)情況依此類推����,但是對于VLAN的設置,并不要求包括所有的管理級別�����。上述的情況只是一種對于可能發(fā)生情形的描述����。
基于上述分析����,本發(fā)明的目的是提出行之有效的解決方案��,利用現(xiàn)有的虛擬局域網(wǎng)(VLAN)方案�����,取消路由器的使用����,避免入侵者通過路由進行入侵或者破壞,使得達到安全可靠地保密要求���。
同時�����,本發(fā)明的另一個目的是提供一種用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng)��,該系統(tǒng)可以避免每個最小開發(fā)單位之間的橫向交流�����,使之只能與上級的管理者進行單向的交流。
本發(fā)明的另一個目的是使得上級的管理者可以閱讀任意一個下級計算機的文件夾,且同級管理者或者被管理者之間不能進行交流����。
本發(fā)明是這樣實現(xiàn)的根據(jù)研究所或者開發(fā)中心的實際情況,用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng)����,其可以包含多個VLAN,VLAN由服務器��、交換機和多臺計算機構(gòu)成�,VLAN的設置通常采用30個以上的VLAN,每個VLAN之間以IP地址���、MAC地址和交換機端口捆綁式結(jié)合來劃分�����,以確定其權(quán)限和交流方向��。
具體的方式是每個最小應用單位享有一個VLAN���,并按照IP地址被劃分為一個獨立的網(wǎng)段,其上級管理者采用IP地址自動識別的方式�,共享其下級被管理者的VLAN�,且使用自動設置來分配IP地址���,上述的IP地址結(jié)合交換機的端口劃分��,使之連接固定��,只能進行單向的信息交流�,使得管理者只能與其下級進行交流��,而管理者或者被管理者不能橫向與同級管理者或者被管理者之間進行交流����,同樣,被管理者與非上級的管理者之間的交流也是禁止的�。
所謂的最小應用單位,是指對相同產(chǎn)品進行相同設計��、開發(fā)或者管理的計算機單位����,它可以是一臺PC機,也可以是多臺PC機的組合��,它們具有同樣的功能和用途限定��,具有同等的使用權(quán)限。
實際應用中���,對于每個實際的開發(fā)者、設計者或者管理者����,其工作內(nèi)容都不是完全重復的,最好將每臺PC機設計成一個VLAN�,總體上具有類似功能或者應用的PC機設置有具有管理功能的工作站,該工作站享有公共端口����,能與上述的每個VLAN進行交流,但是每個VLAN之間是不能進行橫向交流的�。
所述的VLAN同時還可以通過MAC地址劃分。由于MAC地址是全球唯一的��,由它可以固定每臺計算機以及VLAN的權(quán)限和應用����。
MAC地址的增設,是根據(jù)每臺計算機網(wǎng)卡的硬件地址��,以及其所連接的端口����,在交換機上增加其MAC地址��,并指定其所屬的VLAN�����,確定所述的端口的安全狀態(tài)為靜態(tài)的即可�。
上述的具體的方案是每臺計算機作為一個VLAN��,從服務器和PC工作站上對其進行IP地址設置��,管理者的IP地址段使用自動設置�,被管理的計算機按照IP地址段劃分;不同級別的計算機按照不同的IP地址段劃分��,并結(jié)合MAC地址��,直接從服務器和交換機上對其進行設置��。
所述的IP地址的劃分��,從網(wǎng)段1開始��,各網(wǎng)段的前2個IP地址均留給服務器,其它的IP地址分配給個被管理者�。IP地址的分配最好按照地址段指定的方式,給每個計算機指定IP地址�,對于預留的兩個IP地址,其中一個是預留給管理者�����,一個留給服務器使用���。
上述的IP地址的劃分,對于管理者�����,其計算機網(wǎng)卡上設置VLAN��,不設置IP地址���,且每個管理者的計算機與其管理的計算機共享的IP地址段中��,第一個IP地址段為管理者的計算機預留��。
所需要說明的是上述的IP地址的分段是為了規(guī)劃設置方便��、統(tǒng)一便于控制�,更是為了獲得更高的工作效率;如果PC工作站較少���,劃分VLAN不多��,IP資源充足��,也可以采用不分網(wǎng)段�,隨意劃分的方式�����,但是一定不能引起資源的沖突�,特別是在同一VLAN之中,服務器�、交換機、及PC的不同設置�。
所述的服務器,其端口跨越共享交換機的每一個VLAN端口��,關(guān)于VLAN的共享�,重在其公共端口的設置,作好IEEE 802.1Q的標記��。
且對于服務器,只添加VLAN���,不設置IP地址���。
所述的網(wǎng)卡,要使服務器或特殊的PC同時成為多個VLAN的成員���,必須支持IEEE的802.1Q協(xié)議��,以實現(xiàn)不同VIAN成員在服務器指定域的范圍內(nèi)完成相互間的通信���,網(wǎng)卡的設置通過規(guī)劃和設置好IP的網(wǎng)段和地址��,并采用具體的IP設置與自動識別相結(jié)合的方式�,對于管理者,設置為自動識別���,其它的進行具體的IP設置���,這樣管理者可與任意一個下級進行交流,同時由于網(wǎng)段的劃分�����,使得資源得到合理的分割,即提高了效率��,又不會發(fā)生沖突���。
多個VLAN位于同一交換機時��,可以通過端口轉(zhuǎn)發(fā)信息�,為了保障VLAN暢通����、直接的聯(lián)絡,必須設置VLAN中繼����,即VLANTrunking,描述VLAN中繼的協(xié)議為IEEE 802.1Q�����。
通常的VLAN設置都必須通過路由實現(xiàn)其網(wǎng)絡以及信息的交流��,但是路由使VLAN不能做到物理上的斷開����,本發(fā)明可以實現(xiàn)物理上的完全斷開��,從而避免與任何網(wǎng)絡的單獨連結(jié)�����,使整個VLAN系統(tǒng)能夠獨立��、安全地進行運轉(zhuǎn)和工作���,同時可以達到對于所保密的資料(具體分布于每個被管理者之間)無法通過每個被管理者或者同級管理者實現(xiàn)雙向交流,而只能對其上級管理者進行單向的交流���,而且���,此交流措施通過破解權(quán)限與密碼也無法實現(xiàn)����。
而且,本發(fā)明將局部多個VLAN之間的聯(lián)系通過設置具有公共端口的VLAN連接起來���,然后可以將全部的VLAN通過這種方式連接起來�����,形成樹狀的連接�、交流方式,可以形成有效的單向交流方式�����,完全能夠避免橫向的交流和不允許的非法交流����,從而使得整個網(wǎng)絡具有很高的安全可靠性能。
交換機采用3COM公司的SuperStack 3 Switch 4300系列交換機���,它是48端口交換機����,能支持30個VLAN的設置���,進行軟件升級后可以達到60個VLAN��,但是它對公共端口的技術(shù)支持不夠����,不能設置端口使其成為不屬于任何VLAN的公共端口。
另外�,網(wǎng)卡是設置虛擬局域網(wǎng)的必要設施,關(guān)于網(wǎng)卡���,我們選擇的是Intel公司8470C3和8460C3這兩種型號的網(wǎng)卡�����,該型號的網(wǎng)卡支持VLAN技術(shù)IEEE 802.1Q標準���。
設置服務器及工作站特殊PC的網(wǎng)卡,先要安裝一個支持VLAN的附加程序(購買網(wǎng)卡時自帶)���,然后按照其硬件所提供的說明設置即可����。
交換機的VLAN端口的設置重在標記(tag)運用�����,即一個端口如需要與其它端口共享一個VLAN���,則一定要作好標記設置��,具體可參見所使用硬件設備有關(guān)設置的說明��。
圖1所示��,交換機分別連接服務器和各個部門的PC機���,并利用其端口對所連接的PC機以及服務器進行VLAN的設置,在本實施例中�����,每臺PC作為一個VLAN�����。這樣可以使技術(shù)開發(fā)人員的計算機之間不能相互進行信息交流��,防止技術(shù)資料的流失���,同時��,為了進行適當?shù)慕涣?�,允許每個技術(shù)開發(fā)人員與其上級的管理者(即D級管理者)--部門經(jīng)理進行單向交流�。
一般情況下,每個最小應用單位作為一個VLAN設置����,最小應用單位是指對相同產(chǎn)品進行相同設計、開發(fā)或者管理的計算機單位��,它可以是一臺PC機�����,也可以是多臺PC機的組合�����,它們具有同樣的功能和用途限定����,具有同等的使用權(quán)限。
交流的方式如圖2所示���。在該圖中����,A級管理者沒有列出����,可以是行政上的最高管理者,也可以是類似的管理者�,如總裁;B級管理者通常是負責某個局部的工作��,如果機構(gòu)設置比較簡練��,也可以為行政最高長官���,如總經(jīng)理�����;C級管理者通常是負責指揮����、協(xié)調(diào)工作的負責人���,如開發(fā)部門副總經(jīng)理��;D級管理者則是基層的管理者���,或者說是具體的開發(fā)負責人���,如某個產(chǎn)品的開發(fā)經(jīng)理、技術(shù)部負責人��。
圖2所示�,每臺PC設置為一個獨立的VLAN后,每個被管理者(技術(shù)開發(fā)人員)只能與其上級的管理者(部門經(jīng)理)進行單向的交流�����,而無法與同級的開發(fā)人員進行交流����,也無法與其它不同級的管理者進行交流;對于管理者�,如D級管理者,除了與下級的被管理者進行交流外���,還可以與上級的C級管理者進行交流�,下級的被管理者可以是一個���,也可以是多個�����,但是無法與同級的管理者進行交流�,也無法與非自己管理的下級管理者進行交流�,無法與不同級的上級管理者交流;C級管理者也是這種情況����。B級管理者,其上級只有一個�����,故不存在與上級無法交流的問題��,而且對于比較簡單的控制方式�,通常最高管理者可以只設置到B級管理者即可。
圖3所示�,VLAN劃分為1-40個,VLAN1為交換機默認VLAN���,預留不用�,其余的VLAN按照所屬的部門和應用設置���,例如�����,其中VLAN2-7為工業(yè)設計部����,其服務器網(wǎng)卡的IP地址分配按照網(wǎng)段劃分(圖中所列),VLAN7為公共端口�����,不作標記���,設置為D級管理者的VLAN����,其IP地址采用自動識別的方式設置��,VLAN2-VLAN6的端口作好標記���,以便與VLAN7進行溝通�,同時�,劃分IP地址的VLAN2-VLAN6之間不能進行交流��,使得VLAN2-VLAN6只能與VLAN7進行單向的交流���。
同樣,根據(jù)開發(fā)的具體情況��,本發(fā)明應用的開發(fā)中心分為工業(yè)設計部���、系統(tǒng)工程部、軟件部�、硬件部、韌體部(firmware)以及研發(fā)部副總幾個開發(fā)單位�,除研發(fā)部副總外,每個開發(fā)單位的VLAN設置方法與上述的工業(yè)設計部的設置一致���。
對于研發(fā)部副總(為C級管理者)����,其VLAN設置為VLAN39��,對應于服務器網(wǎng)卡IP地址����,也采用自動識別的方式設置��,以使其能夠與所有的技術(shù)人員的VLAN及部門經(jīng)理(D級管理者)進行交流和調(diào)取資料�����。
上述VLAN的對應的線號是唯一�,且與其它網(wǎng)卡�����、設備的設置對應的��。
圖4所示為本發(fā)明實施例C級管理者(即研發(fā)部副總)網(wǎng)卡的IP地址分配情況�����。圖4中�,VLAN與網(wǎng)卡的IP地址的分配情況以及接線的線號與圖3所示服務器的設置是對應的。
工程房的VLAN18的IP地址無論在服務器網(wǎng)卡�,還是在C級管理者(研發(fā)部副總)網(wǎng)卡的設置都是完全一樣的。
每個技術(shù)人員(被管理者)的網(wǎng)卡����,在服務器上的設置,其末位為“1”���,C級管理者(研發(fā)部副總)的網(wǎng)卡上設置的末位為“3”��,D級管理者(部門經(jīng)理)的網(wǎng)卡上設置的末位為“4”(如圖5所示)����。
圖5為本發(fā)明實施例D級管理者及被管理者的IP地址在D級管理者(部門經(jīng)理)網(wǎng)卡上分配情況。圖5中�����,對于D級管理者(部門經(jīng)理)����,每個VLAN的IP地址與該VLAN的服務器網(wǎng)卡����、C級管理者(研發(fā)部副總)網(wǎng)卡的IP地址是對應的。
同時�,每個D級管理者(部門經(jīng)理)的網(wǎng)卡上還自動識別C級管理者(研發(fā)部副總)的IP地址。
對于每個VLAN的分配線號�,該圖所示的與圖3、圖4一致����。
圖6為本發(fā)明實施例交換機的端口設置分配情況的說明�。圖6所示���,交換機按照順序?qū)⑵涠丝谝来畏峙錇楣I(yè)設計部�、系統(tǒng)工程部��、韌體部�����、工程房��、軟件部及硬件部的VLAN����,其中,VLAN7�����、VLAN12�����、VLAN16����、VLAN29���、VLAN38為各個部門的部門經(jīng)理(D級管理者)的VLAN,它們分別能夠與其部門的各個VLAN交流�����。
其中���,Server(服務器)1b(縮寫為S1b)端口跨越共享該交換機的每一個VLAN端口���。
至于具體VLAN的設置方法等,現(xiàn)有技術(shù)已經(jīng)充分公開過��,而且關(guān)于IEEE 802.1Q標準中也有相應的規(guī)定�,在此不作詳細說明���。
前面所描述的是本發(fā)明的一種比較好的實施例����,并不是實現(xiàn)本發(fā)明的唯一手段�����,也可以選擇不偏離本發(fā)明范圍和目的的其它實施方式來實現(xiàn)。
權(quán)利要求
1.一種用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng)���,其可以包含多個VLAN���,VLAN由服務器、交換機和多臺計算機構(gòu)成��,其特征在于VLAN的設置通常采用30個以上的VLAN��,每個VLAN之間以IP地址���、MAC地址和交換機端口捆綁式結(jié)合來劃分�����,以確定其權(quán)限和交流方向���。
2.如權(quán)利要求1所述的用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng),其特征在于每個最小應用單位享有一個VLAN��,并按照IP地址被劃分為一個獨立的網(wǎng)段,其上級管理者采用IP地址自動識別的方式�����,共享其下級被管理者的VLAN���,且使用自動設置來分配IP地址�,上述的IP地址結(jié)合交換機的端口劃分�,使之連接固定,只能進行單向的信息交流�����。
3.如權(quán)利要求2所述的用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng)�,其特征在于最小應用單位,是指對相同產(chǎn)品進行相同設計�、開發(fā)或者管理的計算機單位,它可以是一臺PC機����,也可以是多臺PC機的組合,它們具有同樣的功能和用途限定�,具有同等的使用權(quán)限����。
4.如權(quán)利要求1所述的用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng)�����,其特征在于將每臺PC機設計成一個VLAN��,總體上具有類似功能或者應用的PC機設置有具有管理功能的工作站���,該工作站享有公共端口,能與上述的每個VLAN進行交流����,但是每個VLAN之間是不能進行橫向交流的。
5.如權(quán)利要求1所述的用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng)����,其特征在于所述的VLAN同時還可以通過MAC地址劃分。
6.如權(quán)利要求5所述的用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng)�,其特征在于MAC地址的增設,是根據(jù)每臺計算機網(wǎng)卡的硬件地址���,以及其所連接的端口�����,在交換機上增加其MAC地址���,并指定其所屬的VLAN��,確定所述的端口的安全狀態(tài)為靜態(tài)的即可����。
7.如權(quán)利要求4或6所述的用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng)�����,其特征在于將每臺計算機作為一個VLAN����,從服務器和PC工作站上對其進行IP地址設置,管理者的IP地址段使用自動設置����,被管理的計算機按照IP地址段劃分;不同級別的計算機按照不同的IP地址段劃分��,并結(jié)合MAC地址���,直接從服務器和交換機上對其進行設置���。
8.如權(quán)利要求1或2所述的用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng),其特征在于所述的IP地址的劃分����,從網(wǎng)段1開始,各網(wǎng)段的前2個IP地址均留給服務器����,其它的IP地址分配給個被管理者。IP地址的分配最好按照地址段指定的方式���,給每個計算機指定IP地址���,對于預留的兩個IP地址,其中一個是預留給管理者����,一個留給服務器使用。
9.如權(quán)利要求8所述的用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng)���,其特征在于上述的IP地址的劃分��,對于管理者���,其計算機網(wǎng)卡上設置VLAN���,不設置IP地址,且每個管理者的計算機與其管理的計算機共享的IP地址段中����,第一個IP地址段為管理者的計算機預留。
10.如權(quán)利要求1所述的用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng)�,其特征在于所述的服務器,其端口跨越共享交換機的每一個VLAN端口���,關(guān)于VLAN的共享����,重在其公共端口的設置��,作好IEEE 802.1Q的標記��。
11.如權(quán)利要求1所述的用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng)����,其特征在于且對于服務器,只添加VLAN���,不設置IP地址����。
12如權(quán)利要求1所述的用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng),其特征在于所述的網(wǎng)卡�,要使服務器或特殊的PC同時成為多個VLAN的成員���,必須支持IEEE的802.1Q協(xié)議��,以實現(xiàn)不同VLAN成員在服務器指定域的范圍內(nèi)完成相互間的通信��,網(wǎng)卡的設置通過規(guī)劃和設置好IP的網(wǎng)段和地址����,并采用具體的IP設置與自動識別相結(jié)合的方式���,對于管理者�����,設置為自動識別�����,其它的進行具體的IP設置�。
13.如權(quán)利要求1所述的用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng),其特征在于多個VLAN位于同一交換機時��,可以通過端口轉(zhuǎn)發(fā)信息�����,為了保障VLAN暢通����、直接的聯(lián)絡,必須設置VLAN中繼����,即VLANTrunking,描述VLAN中繼的協(xié)議為IEEE 802.1Q��。
14.如權(quán)利要求2或4所述的用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng)���,其特征在于對于最小應用單位及其管理者�,服務器網(wǎng)卡的IP地址分配按照網(wǎng)段劃分����,管理者的VLAN設置為公共端口��,不作標記��,并設置為D級管理者的VLAN����,其IP地址采用自動識別的方式設置�����,每個最小應用單位的VLAN端口作好標記����,以便與管理者的VLAN進行溝通�����。
全文摘要
本發(fā)明公開了用于虛擬網(wǎng)絡的信息單向傳輸系統(tǒng)����,其可以包含多個VLAN,VLAN由服務器���、交換機和多臺計算機構(gòu)成���,VLAN的設置通常采用30個以上的VLAN�,每個VLAN之間以IP地址����、MAC地址和交換機端口捆綁式結(jié)合來劃分,以確定其權(quán)限和交流方向�����。利用現(xiàn)有的虛擬局域網(wǎng)(VLAN)方案��,取消路由器的使用����,避免入侵者通過路由進行入侵或者破壞,使得達到安全可靠地保密要求����。
文檔編號G06F12/14GK1469253SQ0212428
公開日2004年1月21日 申請日期2002年7月15日 優(yōu)先權(quán)日2002年7月15日
發(fā)明者孫貴奇, 孫貴明 申請人:深圳麥士威科技有限公司