亚洲狠狠干,亚洲国产福利精品一区二区,国产八区,激情文学亚洲色图

一種基于三層交換機(jī)多vlan環(huán)境下集中過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)包的方法

文檔序號(hào):7928799閱讀:430來(lái)源:國(guó)知局
專(zhuān)利名稱(chēng):一種基于三層交換機(jī)多vlan環(huán)境下集中過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)包的方法
技術(shù)領(lǐng)域
本發(fā)明涉及的是一種在三層交換機(jī)多VLAN環(huán)境下對(duì)局域網(wǎng)電腦的上網(wǎng)行為、上網(wǎng)內(nèi)容進(jìn)行控制、過(guò)濾和記錄的方法
背景技術(shù)
當(dāng)前一般的過(guò)濾軟件在控制三層交換機(jī)多VLAN的網(wǎng)絡(luò)環(huán)境下電腦的上網(wǎng)行為,常常需要將過(guò)濾軟件所在的網(wǎng)絡(luò)設(shè)備串接在三層交換機(jī)上面和出口網(wǎng)關(guān)設(shè)備之間,通過(guò)安裝過(guò)濾軟件的網(wǎng)絡(luò)設(shè)備的一個(gè)接口連接三層交換機(jī)缺省路由所在的VLAN的一個(gè)端口,另 一個(gè)接口連接出口網(wǎng)關(guān)設(shè)備,并且使得兩個(gè)接口通過(guò)搭建網(wǎng)絡(luò)橋的方式來(lái)實(shí)現(xiàn)通訊,然后過(guò)濾軟件通過(guò)捕獲經(jīng)過(guò)網(wǎng)絡(luò)橋的局域網(wǎng)電腦的上下行數(shù)據(jù)報(bào)文的方式來(lái)實(shí)現(xiàn)對(duì)局域網(wǎng)電腦上網(wǎng)行為和上網(wǎng)內(nèi)容進(jìn)行監(jiān)控。但是,這種過(guò)濾軟件的部署方式,一方面需要部署專(zhuān)門(mén)的網(wǎng)絡(luò)設(shè)備,并且在監(jiān)控設(shè)備安裝兩個(gè)網(wǎng)卡,并需要將兩個(gè)網(wǎng)卡搭建網(wǎng)絡(luò)橋,這種方式加大了部署過(guò)濾軟件的成本,設(shè)置也較為復(fù)雜,增加了網(wǎng)管人員的工作量;另一方面,由于局域網(wǎng)電腦的上下行數(shù)據(jù)報(bào)文均通過(guò)網(wǎng)絡(luò)橋進(jìn)行傳輸,這使得一旦過(guò)濾軟件所依附的網(wǎng)絡(luò)設(shè)備出現(xiàn)單點(diǎn)故障,將會(huì)使得整個(gè)局域網(wǎng)的公網(wǎng)通訊被切斷,從而使得局域網(wǎng)大面積斷網(wǎng)、掉線(xiàn)的現(xiàn)象,對(duì)局域網(wǎng)通訊的安全、穩(wěn)定和暢通造成較為嚴(yán)重的危害。本發(fā)明的獨(dú)到之處就是通過(guò)將過(guò)濾軟件所在的網(wǎng)絡(luò)設(shè)備直接連接到三層交換機(jī)直連出口網(wǎng)關(guān)的所在VLAN內(nèi)一個(gè)端口上,并將過(guò)濾軟件所在的網(wǎng)絡(luò)設(shè)備的網(wǎng)關(guān)的IP地址設(shè)置為出口網(wǎng)關(guān)設(shè)備的IP地址,這樣濾軟件所在的網(wǎng)絡(luò)設(shè)備就可以直接和出口網(wǎng)關(guān)設(shè)備進(jìn)行通訊了,然后將三層交換機(jī)出口網(wǎng)關(guān)的IP地址更改為安裝過(guò)濾軟件的網(wǎng)絡(luò)設(shè)備的IP地址,這樣也就使得三層交換機(jī)所劃分的各個(gè)VLAN內(nèi)的電腦的數(shù)據(jù)報(bào)文都發(fā)向了過(guò)濾軟件所在的網(wǎng)絡(luò)設(shè)備,過(guò)濾軟件對(duì)于收到的數(shù)據(jù)報(bào)文安裝既定的過(guò)濾、控制規(guī)則進(jìn)行匹配,以此來(lái)決定是否放行并轉(zhuǎn)發(fā)到出口網(wǎng)關(guān)或者丟棄以阻止電腦的上網(wǎng)行為。通過(guò)這種部署過(guò)濾軟件的方式,一方面可以降低部署過(guò)濾軟件的成本,無(wú)需專(zhuān)門(mén)的網(wǎng)絡(luò)設(shè)備、也不需要部署雙網(wǎng)卡;另一方面,當(dāng)過(guò)濾軟件所在的網(wǎng)絡(luò)設(shè)備出現(xiàn)故障的時(shí)候,可以直接登錄三層交換機(jī)將出口網(wǎng)關(guān)的IP更改為出口網(wǎng)關(guān)的真實(shí)的IP地址,從而可以保證網(wǎng)絡(luò)不至于出現(xiàn)中斷、掉線(xiàn)的現(xiàn)象。

發(fā)明內(nèi)容
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,企業(yè)大都踏上了互聯(lián)網(wǎng)的快車(chē),紛紛采用各種網(wǎng)絡(luò)技術(shù)、電子技術(shù)來(lái)通過(guò)網(wǎng)絡(luò)進(jìn)行工作但是由于網(wǎng)絡(luò)的無(wú)限開(kāi)放性,以及對(duì)網(wǎng)絡(luò)有效管理的缺失,給廣大企業(yè)事業(yè)單位帶來(lái)極大的網(wǎng)絡(luò)管理問(wèn)題。如員工在工作時(shí)間在網(wǎng)絡(luò)上用各種P2P軟件下載大量的娛樂(lè)資料,這些P2P工具可以耗盡企業(yè)的帶寬,導(dǎo)致了企業(yè)正常的網(wǎng)絡(luò)無(wú)法使用;同時(shí),員工還瀏覽大量與工作無(wú)關(guān)的網(wǎng)址,如色情、反動(dòng)、暴力等,造成了極壞的影響,浪費(fèi)了工作時(shí)間,還容易導(dǎo)致網(wǎng)絡(luò)病毒泛濫,嚴(yán)重影響企業(yè)的正常工作,降低了工作效率;同時(shí),由于網(wǎng)絡(luò)傳輸?shù)谋憬菪?,使得高速的資料傳輸成為可能,某些員工通過(guò)郵件、HTTP/FTP傳輸、聊天等方式把企業(yè)重要的商業(yè)機(jī)密、專(zhuān)有技術(shù)盜取并謀取私利,嚴(yán)重危害了企業(yè)的利益,給企業(yè)帶來(lái)重大損失。綜上所述,一套行之有效的網(wǎng)絡(luò)管理系統(tǒng)就成為企業(yè)網(wǎng)絡(luò)管
理的必需。本發(fā)明技術(shù)方案如下首先,需要將安裝過(guò)濾軟件的網(wǎng)絡(luò)設(shè)備(可以是普通電腦、服務(wù)器或者嵌入式、工業(yè)控制機(jī)等),直接連接到三層交換機(jī)直連上層出口網(wǎng)關(guān)設(shè)備的VLAN所在的一個(gè)端口上,并且將此網(wǎng)絡(luò)設(shè)備的網(wǎng)關(guān)的IP地址更改為出口網(wǎng)關(guān)設(shè)備的IP地址,這樣安裝過(guò)濾軟件的網(wǎng)絡(luò)設(shè)備就可以和出口網(wǎng)關(guān)設(shè)備進(jìn)行通訊;然后將三層交換機(jī)出口網(wǎng)關(guān)的IP地址更改為安裝過(guò)濾軟件的網(wǎng)絡(luò)設(shè)備的IP地址,這樣局域網(wǎng)各個(gè)VLAN的電腦的數(shù)據(jù)報(bào)文就直接發(fā)送的過(guò)濾軟件所在的網(wǎng)絡(luò)設(shè)備了,然后過(guò)濾軟件將捕獲到的局域網(wǎng)電腦的數(shù)據(jù)報(bào)文按照既定的過(guò)濾、控制和轉(zhuǎn)發(fā)規(guī)則進(jìn)行處理,并決定是否轉(zhuǎn)發(fā)到出口網(wǎng)關(guān)設(shè)備或者直接丟棄的方式來(lái)達(dá)到控制局域網(wǎng)電腦上網(wǎng)行為和上網(wǎng)內(nèi)容的目的。按照本軟件的技術(shù)特征,可以用任意的編程語(yǔ)言來(lái)實(shí)現(xiàn)。依照本原理編寫(xiě)的過(guò)濾 軟件由于是部署在三層交換機(jī)的直連上層出口網(wǎng)關(guān)設(shè)備的VLAN內(nèi),從而可以實(shí)現(xiàn)對(duì)三層交換機(jī)劃分多個(gè)VLAN的大規(guī)模網(wǎng)絡(luò)環(huán)境下電腦的集中監(jiān)控;同時(shí),這種部署過(guò)濾軟件的方式可以避免將過(guò)濾設(shè)備串接到三層交換機(jī)和出口網(wǎng)關(guān)設(shè)備之間,從而避免了單點(diǎn)故障;由于不需要部署雙網(wǎng)卡,從而也降低了部署過(guò)濾軟件的成本開(kāi)支;同時(shí),一旦過(guò)濾軟件所在的網(wǎng)絡(luò)設(shè)備出現(xiàn)問(wèn)題,可以迅速將三層交換機(jī)各個(gè)VLAN的靜態(tài)路由IP地址更改為出口網(wǎng)關(guān)設(shè)備的IP地址,從而可以保證網(wǎng)絡(luò)通訊不至于出現(xiàn)中斷,不會(huì)導(dǎo)致內(nèi)網(wǎng)出現(xiàn)大面積斷網(wǎng)、掉線(xiàn)的現(xiàn)象,保證了網(wǎng)絡(luò)的安全、穩(wěn)定和暢通。
具體實(shí)施例方式在實(shí)際部署中,要根據(jù)三層交換機(jī)的VLAN劃分來(lái)部署過(guò)濾軟件。例如,三層交換機(jī)直連出口網(wǎng)關(guān)設(shè)備的VLAN的虛擬接口的IP地址是192. 168. I. 1,那么三層交換機(jī)的所有VLAN的虛擬接口的靜態(tài)路由都會(huì)指向192. 168. I. I,并且所有VLAN的所有電腦的數(shù)據(jù)報(bào)文均由192. 168. I. I地址向出口網(wǎng)關(guān)設(shè)備192. 168. I. 254轉(zhuǎn)發(fā)(假設(shè)出口網(wǎng)關(guān)設(shè)備IP地址為192. 168. I. 254)。那么我們可以將過(guò)濾軟件所在的網(wǎng)絡(luò)設(shè)備接入到三層交換機(jī)直連出口網(wǎng)關(guān)設(shè)備的VLAN的一個(gè)端口上,然后將其IP地址設(shè)置為192. 168. I. 253,網(wǎng)關(guān)的IP地址設(shè)置為192. 168. I. 254,這樣我們就可以直接和出口網(wǎng)關(guān)設(shè)備進(jìn)行通訊了 ;然后將三層交換機(jī)出口網(wǎng)關(guān)的IP地址由先前的192. 168. I. 254更改為192. 168. I. 253,這樣三層交換機(jī)所有VLAN的數(shù)據(jù)包都會(huì)經(jīng)由192. 168. I. I發(fā)送到過(guò)濾軟件所在的網(wǎng)絡(luò)設(shè)備192. 168. I. 253,然后過(guò)濾軟件根據(jù)既定的控制、過(guò)濾和轉(zhuǎn)發(fā)規(guī)則對(duì)收到的數(shù)據(jù)報(bào)文進(jìn)行處理后決定是否轉(zhuǎn)發(fā)到出口網(wǎng)關(guān)設(shè)備192. 168. I. 254或者直接丟棄,以此來(lái)達(dá)到控制局域網(wǎng)電腦上網(wǎng)行為和上網(wǎng)內(nèi)容的目的。
權(quán)利要求
1.一種基于三層交換機(jī)多VLAN環(huán)境下集中過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)包的方法。通過(guò)將安裝過(guò)濾軟件的網(wǎng)絡(luò)設(shè)備直接連接到三層交換機(jī)直連出口網(wǎng)關(guān)設(shè)備所在的VLAN的一個(gè)端口上,然后將安裝過(guò)濾軟件的網(wǎng)絡(luò)設(shè)備的網(wǎng)關(guān)的IP地址設(shè)置為出口網(wǎng)關(guān)設(shè)備的IP地址,這樣安裝過(guò)濾軟件的網(wǎng)絡(luò)設(shè)備就可以直接和出口網(wǎng)關(guān)設(shè)備進(jìn)行通訊了,然后將三層交換機(jī)各個(gè)VLAN的靜態(tài)網(wǎng)關(guān)IP地址更改為安裝過(guò)濾軟件的網(wǎng)絡(luò)設(shè)備的IP地址。這樣,三層交換機(jī)所劃分的所有VLAN的電腦的數(shù)據(jù)報(bào)文就可以發(fā)送到過(guò)濾軟件所在的網(wǎng)絡(luò)設(shè)備,然后由過(guò)濾軟件對(duì)數(shù)據(jù)報(bào)文進(jìn)行解析,識(shí)別出電腦的具體的上網(wǎng)行為和上網(wǎng)內(nèi)容,并根據(jù)過(guò)濾軟件集成的過(guò)濾、控制規(guī)則對(duì)捕獲到的數(shù)據(jù)報(bào)文進(jìn)行放行并轉(zhuǎn)發(fā)到出口網(wǎng)關(guān)設(shè)備或者丟棄而不轉(zhuǎn)發(fā)的方式來(lái)實(shí)現(xiàn)對(duì)局域網(wǎng)所有電腦的上網(wǎng)行為進(jìn)行控制的一種方法。
全文摘要
本發(fā)明涉及的是一種基于三層交換機(jī)多VLAN環(huán)境下集中過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)包的方法。本方法通過(guò)將安裝過(guò)濾軟件的網(wǎng)絡(luò)設(shè)備直接連接到劃分網(wǎng)段的三層交換機(jī)上直連出口網(wǎng)關(guān)設(shè)備的網(wǎng)段內(nèi)的一個(gè)端口上,并且將此網(wǎng)絡(luò)設(shè)備的網(wǎng)關(guān)的IP地址設(shè)置為出口網(wǎng)關(guān)設(shè)備的IP地址,這樣此網(wǎng)絡(luò)設(shè)備就可以和出口網(wǎng)關(guān)設(shè)備進(jìn)行直接通訊了,然后將三層交換機(jī)出口網(wǎng)關(guān)的IP地址更改為安裝過(guò)濾軟件的網(wǎng)絡(luò)設(shè)備的IP地址,這樣即可捕獲到局域網(wǎng)所有電腦的公網(wǎng)報(bào)文,通過(guò)過(guò)濾軟件既定的控制、過(guò)濾和轉(zhuǎn)發(fā)規(guī)則對(duì)這些報(bào)文進(jìn)行處理,以此來(lái)實(shí)現(xiàn)對(duì)局域網(wǎng)電腦上網(wǎng)行為和上網(wǎng)內(nèi)容的控制。
文檔編號(hào)H04L29/12GK102739512SQ20111019849
公開(kāi)日2012年10月17日 申請(qǐng)日期2011年7月15日 優(yōu)先權(quán)日2011年3月30日
發(fā)明者陳世杰 申請(qǐng)人:大勢(shì)至(北京)軟件工程有限公司
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1