CN102739512A - 一种基于三层交换机多vlan环境下集中过滤网络数据包的方法 - Google Patents
一种基于三层交换机多vlan环境下集中过滤网络数据包的方法 Download PDFInfo
- Publication number
- CN102739512A CN102739512A CN2011101984911A CN201110198491A CN102739512A CN 102739512 A CN102739512 A CN 102739512A CN 2011101984911 A CN2011101984911 A CN 2011101984911A CN 201110198491 A CN201110198491 A CN 201110198491A CN 102739512 A CN102739512 A CN 102739512A
- Authority
- CN
- China
- Prior art keywords
- network
- vlan
- address
- software
- gateway device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及的是一种基于三层交换机多VLAN环境下集中过滤网络数据包的方法。本方法通过将安装过滤软件的网络设备直接连接到划分网段的三层交换机上直连出口网关设备的网段内的一个端口上,并且将此网络设备的网关的IP地址设置为出口网关设备的IP地址,这样此网络设备就可以和出口网关设备进行直接通讯了,然后将三层交换机出口网关的IP地址更改为安装过滤软件的网络设备的IP地址,这样即可捕获到局域网所有电脑的公网报文,通过过滤软件既定的控制、过滤和转发规则对这些报文进行处理,以此来实现对局域网电脑上网行为和上网内容的控制。
Description
技术领域
本发明涉及的是一种在三层交换机多VLAN环境下对局域网电脑的上网行为、上网内容进行控制、过滤和记录的方法
背景技术
当前一般的过滤软件在控制三层交换机多VLAN的网络环境下电脑的上网行为,常常需要将过滤软件所在的网络设备串接在三层交换机上面和出口网关设备之间,通过安装过滤软件的网络设备的一个接口连接三层交换机缺省路由所在的VLAN的一个端口,另一个接口连接出口网关设备,并且使得两个接口通过搭建网络桥的方式来实现通讯,然后过滤软件通过捕获经过网络桥的局域网电脑的上下行数据报文的方式来实现对局域网电脑上网行为和上网内容进行监控。但是,这种过滤软件的部署方式,一方面需要部署专门的网络设备,并且在监控设备安装两个网卡,并需要将两个网卡搭建网络桥,这种方式加大了部署过滤软件的成本,设置也较为复杂,增加了网管人员的工作量;另一方面,由于局域网电脑的上下行数据报文均通过网络桥进行传输,这使得一旦过滤软件所依附的网络设备出现单点故障,将会使得整个局域网的公网通讯被切断,从而使得局域网大面积断网、掉线的现象,对局域网通讯的安全、稳定和畅通造成较为严重的危害。
本发明的独到之处就是:通过将过滤软件所在的网络设备直接连接到三层交换机直连出口网关的所在VLAN内一个端口上,并将过滤软件所在的网络设备的网关的IP地址设置为出口网关设备的IP地址,这样滤软件所在的网络设备就可以直接和出口网关设备进行通讯了,然后将三层交换机出口网关的IP地址更改为安装过滤软件的网络设备的IP地址,这样也就使得三层交换机所划分的各个VLAN内的电脑的数据报文都发向了过滤软件所在的网络设备,过滤软件对于收到的数据报文安装既定的过滤、控制规则进行匹配,以此来决定是否放行并转发到出口网关或者丢弃以阻止电脑的上网行为。通过这种部署过滤软件的方式,一方面可以降低部署过滤软件的成本,无需专门的网络设备、也不需要部署双网卡;另一方面,当过滤软件所在的网络设备出现故障的时候,可以直接登录三层交换机将出口网关的IP更改为出口网关的真实的IP地址,从而可以保证网络不至于出现中断、掉线的现象。
发明内容
随着网络技术的发展,企业大都踏上了互联网的快车,纷纷采用各种网络技术、电子技术来通过网络进行工作:但是由于网络的无限开放性,以及对网络有效管理的缺失,给广大企业事业单位带来极大的网络管理问题。如:员工在工作时间在网络上用各种P2P软件下载大量的娱乐资料,这些P2P工具可以耗尽企业的带宽,导致了企业正常的网络无法使用;同时,员工还浏览大量与工作无关的网址,如色情、反动、暴力等,造成了极坏的影响,浪费了工作时间,还容易导致网络病毒泛滥,严重影响企业的正常工作,降低了工作效率;同时,由于网络传输的便捷性,使得高速的资料传输成为可能,某些员工通过邮件、HTTP/FTP传输、聊天等方式把企业重要的商业机密、专有技术盗取并谋取私利,严重危害了企业的利益,给企业带来重大损失。综上所述,一套行之有效的网络管理系统就成为企业网络管理的必需。
本发明技术方案如下:首先,需要将安装过滤软件的网络设备(可以是普通电脑、服务器或者嵌入式、工业控制机等),直接连接到三层交换机直连上层出口网关设备的VLAN所在的一个端口上,并且将此网络设备的网关的IP地址更改为出口网关设备的IP地址,这样安装过滤软件的网络设备就可以和出口网关设备进行通讯;然后将三层交换机出口网关的IP地址更改为安装过滤软件的网络设备的IP地址,这样局域网各个VLAN的电脑的数据报文就直接发送的过滤软件所在的网络设备了,然后过滤软件将捕获到的局域网电脑的数据报文按照既定的过滤、控制和转发规则进行处理,并决定是否转发到出口网关设备或者直接丢弃的方式来达到控制局域网电脑上网行为和上网内容的目的。
按照本软件的技术特征,可以用任意的编程语言来实现。依照本原理编写的过滤软件由于是部署在三层交换机的直连上层出口网关设备的VLAN内,从而可以实现对三层交换机划分多个VLAN的大规模网络环境下电脑的集中监控;同时,这种部署过滤软件的方式可以避免将过滤设备串接到三层交换机和出口网关设备之间,从而避免了单点故障;由于不需要部署双网卡,从而也降低了部署过滤软件的成本开支;同时,一旦过滤软件所在的网络设备出现问题,可以迅速将三层交换机各个VLAN的静态路由IP地址更改为出口网关设备的IP地址,从而可以保证网络通讯不至于出现中断,不会导致内网出现大面积断网、掉线的现象,保证了网络的安全、稳定和畅通。
具体实施方式:
在实际部署中,要根据三层交换机的VLAN划分来部署过滤软件。例如,三层交换机直连出口网关设备的VLAN的虚拟接口的IP地址是192.168.1.1,那么三层交换机的所有VLAN的虚拟接口的静态路由都会指向192.168.1.1,并且所有VLAN的所有电脑的数据报文均由192.168.1.1地址向出口网关设备192.168.1.254转发(假设出口网关设备IP地址为192.168.1.254)。那么我们可以将过滤软件所在的网络设备接入到三层交换机直连出口网关设备的VLAN的一个端口上,然后将其IP地址设置为192.168.1.253,网关的IP地址设置为192.168.1.254,这样我们就可以直接和出口网关设备进行通讯了;然后将三层交换机出口网关的IP地址由先前的192.168.1.254更改为192.168.1.253,这样三层交换机所有VLAN的数据包都会经由192.168.1.1发送到过滤软件所在的网络设备192.168.1.253,然后过滤软件根据既定的控制、过滤和转发规则对收到的数据报文进行处理后决定是否转发到出口网关设备192.168.1.254或者直接丢弃,以此来达到控制局域网电脑上网行为和上网内容的目的。
Claims (1)
1.一种基于三层交换机多VLAN环境下集中过滤网络数据包的方法。通过将安装过滤软件的网络设备直接连接到三层交换机直连出口网关设备所在的VLAN的一个端口上,然后将安装过滤软件的网络设备的网关的IP地址设置为出口网关设备的IP地址,这样安装过滤软件的网络设备就可以直接和出口网关设备进行通讯了,然后将三层交换机各个VLAN的静态网关IP地址更改为安装过滤软件的网络设备的IP地址。这样,三层交换机所划分的所有VLAN的电脑的数据报文就可以发送到过滤软件所在的网络设备,然后由过滤软件对数据报文进行解析,识别出电脑的具体的上网行为和上网内容,并根据过滤软件集成的过滤、控制规则对捕获到的数据报文进行放行并转发到出口网关设备或者丢弃而不转发的方式来实现对局域网所有电脑的上网行为进行控制的一种方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101984911A CN102739512A (zh) | 2011-03-30 | 2011-07-15 | 一种基于三层交换机多vlan环境下集中过滤网络数据包的方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110078153 | 2011-03-30 | ||
| CN201110078153.4 | 2011-03-30 | ||
| CN2011101984911A CN102739512A (zh) | 2011-03-30 | 2011-07-15 | 一种基于三层交换机多vlan环境下集中过滤网络数据包的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102739512A true CN102739512A (zh) | 2012-10-17 |
Family
ID=46994330
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011101984911A Pending CN102739512A (zh) | 2011-03-30 | 2011-07-15 | 一种基于三层交换机多vlan环境下集中过滤网络数据包的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102739512A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103888316A (zh) * | 2014-03-28 | 2014-06-25 | 宋磊 | 一种多网段多vlan中计算机网络自动化监控方法 |
| CN108600170A (zh) * | 2018-03-20 | 2018-09-28 | 大势至(北京)软件工程有限公司 | 一种控制多网段环境下网络设备上网行为的方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1848808A (zh) * | 2006-01-11 | 2006-10-18 | 郑凯 | 一种基于虚拟网关技术对局域网主机公网报文进行控制的方法 |
| CN101247346A (zh) * | 2008-04-01 | 2008-08-20 | 陈世杰 | 一种基于网关模式对局域网数据报文进行控制的方法 |
| CN101841451A (zh) * | 2009-12-30 | 2010-09-22 | 北京世纪互联宽带数据中心有限公司 | 一种云主机基于虚拟局域网的限速方法和系统 |
| CN101964736A (zh) * | 2010-10-20 | 2011-02-02 | 清华大学 | 局域网出口网络框架系统 |
-
2011
- 2011-07-15 CN CN2011101984911A patent/CN102739512A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1848808A (zh) * | 2006-01-11 | 2006-10-18 | 郑凯 | 一种基于虚拟网关技术对局域网主机公网报文进行控制的方法 |
| CN101247346A (zh) * | 2008-04-01 | 2008-08-20 | 陈世杰 | 一种基于网关模式对局域网数据报文进行控制的方法 |
| CN101841451A (zh) * | 2009-12-30 | 2010-09-22 | 北京世纪互联宽带数据中心有限公司 | 一种云主机基于虚拟局域网的限速方法和系统 |
| CN101964736A (zh) * | 2010-10-20 | 2011-02-02 | 清华大学 | 局域网出口网络框架系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103888316A (zh) * | 2014-03-28 | 2014-06-25 | 宋磊 | 一种多网段多vlan中计算机网络自动化监控方法 |
| CN103888316B (zh) * | 2014-03-28 | 2017-05-17 | 宋磊 | 一种多网段多vlan中计算机网络自动化监控方法 |
| CN108600170A (zh) * | 2018-03-20 | 2018-09-28 | 大势至(北京)软件工程有限公司 | 一种控制多网段环境下网络设备上网行为的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11658861B2 (en) | Maps having a high branching factor | |
| CN106941480B (zh) | 安全管理方法及安全管理系统 | |
| Rawat et al. | Software defined networking architecture, security and energy efficiency: A survey | |
| Chen et al. | Collaborative network security in multi-tenant data center for cloud computing | |
| CN105634998B (zh) | 针对多租户环境下物理机与虚拟机统一监控的方法及系统 | |
| CN105049450A (zh) | 一种基于虚拟网络环境的云安全系统及其部署框架 | |
| CN102752217B (zh) | 网络加速系统和网络加速方法 | |
| WO2014055793A1 (en) | System and method for dynamic management of network device data | |
| Kumar et al. | Open flow switch with intrusion detection system | |
| CN111953661A (zh) | 一种基于sdn的东西向流量安全防护方法及其系统 | |
| CN102739433A (zh) | 一种基于三层交换机多网段环境下部署网管软件对局域网电脑进行控制的方法 | |
| CN106789892B (zh) | 一种云平台通用的防御分布式拒绝服务攻击的方法 | |
| CN102739512A (zh) | 一种基于三层交换机多vlan环境下集中过滤网络数据包的方法 | |
| CN101247346A (zh) | 一种基于网关模式对局域网数据报文进行控制的方法 | |
| EP3166279B1 (en) | Integrated security system having rule optimization | |
| Chi et al. | An AMI threat detection mechanism based on SDN networks | |
| CN101252474A (zh) | 一种基于网桥模式对局域网数据报文进行控制的方法 | |
| CN108011825B (zh) | 一种基于软件定义网络的多网络设备互联现实方法及系统 | |
| CN106453087A (zh) | 一种基于三层交换机多网段环境下部署网管软件对局域网电脑进行控制的方法 | |
| CN206195823U (zh) | 一种网络视频监控摄像机节点及服务器间隔离设备 | |
| Vedhapriyavadhana et al. | Simulation and performance analysis of security issue using floodlight controller in software defined network | |
| CN202918331U (zh) | 单臂模式部署安全代理服务器的通信网络系统 | |
| EP3166280B1 (en) | Integrated security system having threat visualization and automated security device control | |
| Farhady et al. | TagFlow: Efficient flow classification in SDN | |
| EP3166281B1 (en) | Integrated security system having threat visualization |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20121017 |