[发明专利]一种基于VLAN构造的访问控制方法

说明书

本发明公开了一种基于VLAN构造的访问控制方法，包括以下步骤：S1.进行安全区划分，将整体网络分为若干安全区，同时为安全区分配交换机设备；S2.在一个交换机设备上，建立物理端口或VLAN的逻辑接口的过滤条件；S3.改变交换机接入端口的VLAN本身的TAG属性和PVID分配等逻辑拓扑结构；S4.进行系统设定，划分若干系统。本发明的方法仅仅改变交换机接入端口的VLAN本身的TAG属性和PVID分配等逻辑拓扑结构，实现了等效的访问控制要求，数据包不需要绕行特定的过滤接口，允许互访的端口能够直接互访，不受中间冗余链路切换、通讯设备冗余切换的影响，减少了对网络带宽资源的占用和网络成本。

技术领域

本发明属于网络安全防护技术领域，具体涉及一种基于VLAN构造的访问控制方法。

背景技术

传统网络中，VLAN、VxLAN、基本上用作为按租客、安全区、组织单元、业务、系统进行隔离保护，当隔离的保护区之间需要访问控制时，由于用户已经采用VLAN来隔离保护，往往需要通过三层路由等技术接通网络，然后再采用ACL(访问控制列表)来阻断隔离保护区之间不必要的通讯。

ACL访问控制技术是一种交换机、路由器、内网防火墙都采用的进出规则命令访问控制技术。即通过标准或扩展的ACL命令，在通讯设备端口阻断不允许的通讯，其判断依据主要是是源IP、目标IP、源Mac、目标Mac、TCP/UDP/ICMP(传输和控制协议)五元素检测。其中阻断某种传输和控制协议来防护的应用较少。因此实际上主要采用的是源和目标作为访问控制的判断依据，即指定和限制跨安全区访问对象。

现有技术缺陷和不足：当使用ACL访问控制时，目前无法解决的技术问题：

1)网络物理拓扑架构中，一般分为接入层、汇聚层、核心路由层。经常可能需要使用单臂路由来对各隔离VLAN进行访问控制，此时，由于源地址和目标地址在检测口的同一侧。ACL无法处理。

2)大量使用网络路由或生成树等技术，网络成网格化状态。ACL命令针对于某个通讯端口编写的。数据通路有时非常不可思议。需检测和阻断所有数据流可能的多条通路和方向。选择防御物理位置变得困难。特别是跨多个物理安全区的访问控制。而采用ACL在每个网络交通要道上针对多种业务、系统进行检测阻断。似乎难以实现。

3)对于实时性要求搞得数据，ACL命令条数太多时，检测有一定的延时会影响通讯，而且，一般交换机和路由器为了保证数据传输时延，限制ACL命令条数。

4)恶意程序和不法人员可以通过更改IP或采用网内可以规避检测的IP突破访问控制的限定。

综上所述，我们提出一种基于VLAN构造的访问控制方法。

发明内容

本发明的目的在于提供一种基于VLAN构造的访问控制方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：一种基于VLAN构造的访问控制方法，包括以下步骤：

S1.进行安全区划分，将整体网络分为若干安全区，同时为安全区分配交换机设备；

S2.在一个交换机设备上，建立物理端口或VLAN的逻辑接口的过滤条件；

S3.改变交换机接入端口的VLAN本身的TAG属性和PVID分配等逻辑拓扑结构；

S4.进行系统设定，划分若干系统；

S5.按系统和安全区建立隔离组，同组内成员能够给互相访问，不同组成员不能够互相访问；

S6.建立跨系统、安全区的访问控制组，使不同隔离组的成员之间能够互相访问；

S7.对每台交换机设备的访问组端口进行IP绑定。