CN103685080A - 交换机、广域网连接系统、网络及广域网连接控制方法 - Google Patents
交换机、广域网连接系统、网络及广域网连接控制方法 Download PDFInfo
- Publication number
- CN103685080A CN103685080A CN201210364989.5A CN201210364989A CN103685080A CN 103685080 A CN103685080 A CN 103685080A CN 201210364989 A CN201210364989 A CN 201210364989A CN 103685080 A CN103685080 A CN 103685080A
- Authority
- CN
- China
- Prior art keywords
- area network
- wide area
- lan
- line
- outer net
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种三层交换机、包括该三层交换机的广域网连接系统,以及分别基于上述三层交换机和广域网连接系统的网络及广域网控制方法。其中该三层交换机的上联端口默认关闭,并且仅在下联端口收到一外网连接指令时开放、并接通广域网,上联端口在下联端口收到一外网断开指令时断开和广域网的连接、并关闭。本发明的三层交换机、广域网连接系统、网络及广域网连接控制方法通过设置三层交换机的上联端口通常关闭,实现三层交换机内部端口连接的局域网设备与广域网的物理隔离,提高局域网的安全性。
Description
技术领域
本发明涉及一种三层交换机、广域网连接系统、网络及广域网连接控制方法。
背景技术
以太网交换机组网过程中,连接到交换机端口上的设备可以按固定的规则相互访问,特别是局域网与广域网之间的相互访问。由于广域网用户有方法与通路访问局域网内部用户,这就给局域网安全性带来了极大的隐患。特别是对于一些企业内部的局域网,涉及的信息可能涉及商业机密,对于局域网的安全性也有着更高的要求。
发明内容
本发明要解决的技术问题是为了克服现有技术中广域网用户有方法与通路访问局域网内部用户,从而降低了局域网的安全性的缺陷,提出一种三层交换机、包含该三层交换机的广域网连接系统和网络及广域网连接控制方法,通过设置三层交换机的上联端口通常关闭,实现三层交换机内部端口连接的局域网设备与广域网的物理隔离,提高局域网的安全性。
本发明是通过下述技术方案来解决上述技术问题的:
本发明提供了一种三层交换机,包括用于和广域网连接的至少一上联端口和用于和局域网连接的至少一下联端口,其特点在于,该至少一上联端口默认关闭,该至少一上联端口仅在该至少一下联端口收到一外网连接指令时开放、并接通广域网,该至少一上联端口在该至少一下联端口收到一外网断开指令时断开和广域网的连接、并关闭。
本领域技术人员应当理解,本发明通过该外网连接指令和该外网断开指令控制该至少一上联端口的开放和关闭,从而控制局域网和广域网之间的接通和断开,而指令的具体形式可以依据本领域的常规技术手段进行设置。
较佳地,在一预设时长的时间段内局域网与广域网间没有数据传输时,该至少一上联端口断开和广域网的连接、并关闭。
检测局域网与广域网间是否有数据传输的具体手段属于本领域常规技术手段,本发明对此不作限制,只要依据检测结果控制该至少一上联端口与广域网断开连接,均落入本发明的保护范围。
本发明还提供了一种包括上述的三层交换机的广域网连接系统,其特点在于,该广域网连接系统还包括一管理服务器,该管理服务器分别和局域网以及该三层交换机连接,该管理服务器用于在接收到一局域网计算机发出的外网连接请求命令、并确认该局域网计算机具有广域网权限后,发送该外网连接指令至该三层交换机,在该局域网计算机发送该外网断开指令至该至少一下联端口后,该至少一上联端口断开和广域网的连接、并关闭。
本领域技术人员应当理解,局域网中的用户必须有广域网权限才能够被允许连接到广域网。通过该管理服务器对用户的权限进行判断,来决定是否发送该外网连接指令至该三层交换机,以许可和广域网的连接。
较佳地,该管理服务器还用于在接收到一广域网计算机发出的一内网连接请求命令、并确认该广域网计算机具有局域网权限后,发送该外网连接指令至该三层交换机,使该广域网计算机连接上局域网。
较佳地,该管理服务器还用于在接收到一广域网计算机发出的一内网连接请求命令、并确认该广域网计算机具有局域网权限后,指令一局域网计算机发送该外网连接请求命令至该管理服务器,使该广域网计算机连接上局域网。
容易理解的,为了保证广域网用户不能随意访问局域网,该管理服务器只许可有局域网权限的广域网用户访问局域网。其中,指令一局域网计算机发送该外网连接请求命令至该管理服务器,既可以是发送一指令提示该局域网计算机发送该外网连接请求命令,也可以是预设的该局域网计算机在收到由该管理服务器发出的某个指令时自动发送该外网连接请求命令。
较佳地,该外网连接请求命令包括该局域网计算机的用户名和MAC地址。其中,MAC地址即硬件位址。
本发明还提供了一种利用上述的三层交换机的网络连接控制方法,其特点在于,该网络连接控制方法包括以下步骤:
S101a、设置该至少一上联端口为关闭状态;S102a、该至少一下联端口接收到该外网连接指令;S103a、该至少一上联端口开放,并接通广域网;S104a、该至少一下联端口接收到该外网断开指令;S105a、该至少一上联端口断开和广域网的连接,并关闭。
较佳地,将该步骤S104a替换为一步骤S104b:该至少一下联端口接收到该外网断开指令,或者检测到在一预设时长的时间段内局域网与广域网间没有数据传输。
本发明还提供了一种利用上述的广域网连接系统的广域网连接控制方法,其特点在于,该广域网连接控制方法包括一局域网连接广域网方法和一广域网连接局域网方法,该局域网连接广域网方法包括以下步骤:
S101c、设置该至少一上联端口为关闭状态;S102c、该局域网计算机发出该外网连接请求命令至该管理服务器;S103c、该管理服务器确认该局域网计算机的用户具有广域网权限;S104c、该管理服务器发送该外网连接指令至该至少一下联端口;S105c、该至少一上联端口开放,并接通广域网;S106c、该局域网计算机发送该外网断开指令至该至少一下联端口,或者检测到在一预设时长的时间段内局域网与广域网间没有数据传输;S107c、该至少一上联端口断开和广域网的连接,并关闭;
该广域网连接局域网方法包括以下步骤:
S101d、设置该至少一上联端口为关闭状态;S102d、该广域网计算机发出该内网连接请求命令至该管理服务器;S103d、该管理服务器确认该广域网计算机具有局域网权限;S104d、该管理服务器发送该外网连接指令至该三层交换机;S105d、该至少一上联端口开放,并接通广域网,使该广域网计算机连接上局域网;S106d、该至少一下联端口接收到该外网断开指令,或者检测到在一预设时长的时间段内局域网与广域网间没有数据传输;S107d、该至少一上联端口断开和广域网的连接,并关闭。
较佳地,将该步骤S104d替换为一步骤S104e:
S104e、该管理服务器指令一局域网计算机发送该外网连接请求命令至该管理服务器,该管理服务器发送该外网连接指令至该三层交换机。
在符合本领域常识的基础上,上述各优选条件,可任意组合,即得本发明各较佳实例。
本发明的积极进步效果在于:
本发明的三层交换机、广域网连接系统及网络连接控制方法,通过设置三层交换机的上联端口通常关闭,并设置了上联端口开放和关闭的控制方法,实现三层交换机内部端口连接的局域网设备与广域网的物理隔离,提高了局域网的安全性。
附图说明
图1为本发明的利用实施例1的三层交换机的网络连接控制方法的流程图。
图2为本发明的利用实施例2的三层交换机的网络连接控制方法的流程图。
图3为本发明的利用实施例3的广域网连接系统的局域网连接广域网方法的流程图。
图4为本发明的利用实施例3的广域网连接系统的广域网连接局域网方法的流程图。
具体实施方式
下面结合附图给出本发明较佳实施例,以详细说明本发明的技术方案,但并不因此将本发明限制在所述的实施例范围之中。
实施例1:
本实施例的三层交换机包括用于和广域网连接的至少一上联端口和用于和局域网连接的至少一下联端口,该至少一上联端口默认关闭,该至少一上联端口仅在该至少一下联端口收到一外网连接指令时开放、并接通广域网,该至少一上联端口在该至少一下联端口收到一外网断开指令时断开和广域网的连接、并关闭。
如图1所示,利用实施例1的三层交换机的网络连接控制方法包括以下步骤:
S101a、设置该至少一上联端口为关闭状态;S102a、该至少一下联端口接收到该外网连接指令;S103a、该至少一上联端口开放,并接通广域网;S104a、该至少一下联端口接收到该外网断开指令;S105a、该至少一上联端口断开和广域网的连接,并关闭。
该S101a将该至少一上联端口设为关闭,使得局域网和广域网间物理隔离。该步骤S102a和S103a使具有权限连接广域网的局域网用户能够连接广域网。而在接通广域网,并且该局域网用户完成想要执行的操作后,经过该步骤S104a和S105a使得该至少一上联端口重新回到关闭的状态。其中,该外网连接指令和该外网断开指令可以由一与该三层交换机相连的服务器或局域网计算机发出。
实施例2:
本实施例的三层交换机与实施例1的三层交换机的区别仅在于,本实施例的三层交换机,在一预设时长的时间段内局域网与广域网间没有数据传输时,该至少一上联端口断开和广域网的连接、并关闭。
如图2所示,利用实施例2的三层交换机的网络连接控制方法与利用实施例1的三层交换机的网络连接控制方法相比,将该步骤S104a替换为一步骤S104b:该至少一下联端口接收到该外网断开指令,或者检测到在一预设时长的时间段内局域网与广域网间没有数据传输。其中,该步骤S104b包括图2中虚线框内所有步骤。在该至少一下联端口未接收到该外网断开指令,同时检测到在一预设时长的时间段内局域网与广域网间有数据传输的情况下,该至少一上联端口保持局域网和广域网的连接。在该至少一下联端口接收到该外网断开指令的情况下,或者检测到在一预设时长的时间段内局域网与广域网间没有数据传输的情况下,该至少一上联端口均会断开和广域网的连接,并关闭。
该步骤S104b能够保证,即使由于用户疏忽等原因造成该至少一下联端口未接收到该外网断开指令,在一定时间内如果局域网与广域网间没有数据传输,仍为执行该步骤S105a保证该至少一上联端口重新回到关闭状态,从而加强局域网的安全性。
实施例3:
本实施例的广域网连接系统包括实施例2的三层交换机和一管理服务器,该管理服务器分别和局域网以及该三层交换机连接,该管理服务器用于在接收到一局域网计算机发出的外网连接请求命令、并确认该局域网计算机具有广域网权限后,发送该外网连接指令至该三层交换机,在该局域网计算机发送该外网断开指令至该至少一下联端口后,该至少一上联端口断开和广域网的连接、并关闭。
此外,该管理服务器还用于在接收到一广域网计算机发出的一内网连接请求命令、并确认该广域网计算机具有局域网权限后,可以发送该外网连接指令至该三层交换机、使该广域网计算机连接上局域网,也可以指令一局域网计算机发送该外网连接请求命令至该管理服务器、使该广域网计算机连接上局域网。
容易理解的,该管理服务器既能够在局域网用户请求连接广域网时检查局域网用户的权限,也能够在广域网用户请求连接局域网时检查广域网用户的权限。这就杜绝了随意的用户访问造成的安全隐患。
并且,在广域网用户连接局域网后,同样由该外网断开指令来控制连接的断开及该至少一上联端口的关闭。也可以通过检测在一预设时长的时间段内局域网与广域网间是否有数据传输,来控制连接的断开及该至少一上联端口的关闭。
利用实施例3的的广域网连接系统的广域网连接控制方法包括一局域网连接广域网方法和一广域网连接局域网方法。该局域网连接广域网方法如图3所示,包括以下步骤:
S101c、设置该至少一上联端口为关闭状态;S102c、该局域网计算机发出该外网连接请求命令至该管理服务器;S103c、该管理服务器确认该局域网计算机的用户具有广域网权限;S104c、该管理服务器发送该外网连接指令至该至少一下联端口;S105c、该至少一上联端口开放,并接通广域网;S106c、该局域网计算机发送该外网断开指令至该至少一下联端口,或者检测到在一预设时长的时间段内局域网与广域网间没有数据传输;S107c、该至少一上联端口断开和广域网的连接,并关闭;
其中,该步骤S106c包括图3中虚线框内所有步骤。
该广域网连接局域网方法如图4所示,包括以下步骤:
S101d、设置该至少一上联端口为关闭状态;S102d、该广域网计算机发出该内网连接请求命令至该管理服务器;S103d、该管理服务器确认该广域网计算机具有局域网权限;S104d、该管理服务器发送该外网连接指令至该三层交换机;S105d、该至少一上联端口开放,并接通广域网,使该广域网计算机连接上局域网;S106d、该至少一下联端口接收到该外网断开指令,或者检测到在一预设时长的时间段内局域网与广域网间没有数据传输;S107d、该至少一上联端口断开和广域网的连接,并关闭。
其中,该步骤S106d包括图4中虚线框内所有步骤。
其中,该步骤S104d也可替换为一步骤S104e:
S104e、该管理服务器指令一局域网计算机发送该外网连接请求命令至该管理服务器,该管理服务器发送该外网连接指令至该三层交换机。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。
Claims (10)
1.一种三层交换机,包括用于和广域网连接的至少一上联端口和用于和局域网连接的至少一下联端口,其特征在于,该至少一上联端口默认关闭,该至少一上联端口仅在该至少一下联端口收到一外网连接指令时开放、并接通广域网,该至少一上联端口在该至少一下联端口收到一外网断开指令时断开和广域网的连接、并关闭。
2.如权利要求1所述的三层交换机,其特征在于,在一预设时长的时间段内局域网与广域网间没有数据传输时,该至少一上联端口断开和广域网的连接、并关闭。
3.一种包括如权利要求2所述的三层交换机的广域网连接系统,其特征在于,该广域网连接系统还包括一管理服务器,该管理服务器分别和局域网以及该三层交换机连接,该管理服务器用于在接收到一局域网计算机发出的外网连接请求命令、并确认该局域网计算机具有广域网权限后,发送该外网连接指令至该三层交换机,在该局域网计算机发送该外网断开指令至该至少一下联端口后,该至少一上联端口断开和广域网的连接、并关闭。
4.如权利要求3所述的广域网连接系统,其特征在于,该管理服务器还用于在接收到一广域网计算机发出的一内网连接请求命令、并确认该广域网计算机具有局域网权限后,发送该外网连接指令至该三层交换机,使该广域网计算机连接上局域网。
5.如权利要求3所述的广域网连接系统,其特征在于,该管理服务器还用于在接收到一广域网计算机发出的一内网连接请求命令、并确认该广域网计算机具有局域网权限后,指令一局域网计算机发送该外网连接请求命令至该管理服务器,使该广域网计算机连接上局域网。
6.如权利要求3所述的广域网连接系统,其特征在于,该外网连接请求命令包括该局域网计算机的用户名和MAC地址。
7.一种利用如权利要求1所述的三层交换机的网络连接控制方法,其特征在于,该网络连接控制方法包括以下步骤:
S101a、设置该至少一上联端口为关闭状态;
S102a、该至少一下联端口接收到该外网连接指令;
S103a、该至少一上联端口开放,并接通广域网;
S104a、该至少一下联端口接收到该外网断开指令;
S105a、该至少一上联端口断开和广域网的连接,并关闭。
8.如权利要求7所述的网络连接控制方法,其特征在于,将该步骤S104a替换为一步骤S104b:该至少一下联端口接收到该外网断开指令,或者检测到在一预设时长的时间段内局域网与广域网间没有数据传输。
9.一种利用如权利要求4所述的广域网连接系统的广域网连接控制方法,其特征在于,该广域网连接控制方法包括一局域网连接广域网方法和一广域网连接局域网方法,该局域网连接广域网方法包括以下步骤:
S101c、设置该至少一上联端口为关闭状态;
S102c、该局域网计算机发出该外网连接请求命令至该管理服务器;
S103c、该管理服务器确认该局域网计算机的用户具有广域网权限;
S104c、该管理服务器发送该外网连接指令至该至少一下联端口;
S105c、该至少一上联端口开放,并接通广域网;
S106c、该局域网计算机发送该外网断开指令至该至少一下联端口,或者检测到在一预设时长的时间段内局域网与广域网间没有数据传输;
S107c、该至少一上联端口断开和广域网的连接,并关闭;
该广域网连接局域网方法包括以下步骤:
S101d、设置该至少一上联端口为关闭状态;
S102d、该广域网计算机发出该内网连接请求命令至该管理服务器;
S103d、该管理服务器确认该广域网计算机具有局域网权限;
S104d、该管理服务器发送该外网连接指令至该三层交换机;
S105d、该至少一上联端口开放,并接通广域网,使该广域网计算机连接上局域网;
S106d、该至少一下联端口接收到该外网断开指令,或者检测到在一预设时长的时间段内局域网与广域网间没有数据传输;
S107d、该至少一上联端口断开和广域网的连接,并关闭。
10.如权利要求9所述的广域网连接控制方法,其特征在于,将该步骤S104d替换为一步骤S104e:
S104e、该管理服务器指令一局域网计算机发送该外网连接请求命令至该管理服务器,该管理服务器发送该外网连接指令至该三层交换机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210364989.5A CN103685080A (zh) | 2012-09-26 | 2012-09-26 | 交换机、广域网连接系统、网络及广域网连接控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210364989.5A CN103685080A (zh) | 2012-09-26 | 2012-09-26 | 交换机、广域网连接系统、网络及广域网连接控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103685080A true CN103685080A (zh) | 2014-03-26 |
Family
ID=50321433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210364989.5A Pending CN103685080A (zh) | 2012-09-26 | 2012-09-26 | 交换机、广域网连接系统、网络及广域网连接控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103685080A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105306315A (zh) * | 2015-09-21 | 2016-02-03 | 烽火通信科技股份有限公司 | 基于smb协议手机远程访问家庭网关设备的系统及方法 |
| CN105827426A (zh) * | 2015-01-08 | 2016-08-03 | 中国移动通信集团河南有限公司 | 一种链路故障处理方法、装置及系统 |
| CN109151066A (zh) * | 2018-10-17 | 2019-01-04 | 重庆思柏高科技有限公司 | 物联网设备的通信方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1400540A (zh) * | 2001-08-01 | 2003-03-05 | 苏毅 | 网络连接/隔离的控制方法 |
| CN1728663A (zh) * | 2004-07-30 | 2006-02-01 | 神州亿品科技(北京)有限公司 | 移动接入控制器和移动局域与城域网及其接入方法 |
| CN101814994A (zh) * | 2009-02-24 | 2010-08-25 | 阿尔卡特朗讯公司 | 集中式以太网的关闭方法 |
| CN102457427A (zh) * | 2010-10-27 | 2012-05-16 | 上海澳润通信技术有限公司 | 百兆数据同轴交换机及其数据交换方法 |
-
2012
- 2012-09-26 CN CN201210364989.5A patent/CN103685080A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1400540A (zh) * | 2001-08-01 | 2003-03-05 | 苏毅 | 网络连接/隔离的控制方法 |
| CN1728663A (zh) * | 2004-07-30 | 2006-02-01 | 神州亿品科技(北京)有限公司 | 移动接入控制器和移动局域与城域网及其接入方法 |
| CN101814994A (zh) * | 2009-02-24 | 2010-08-25 | 阿尔卡特朗讯公司 | 集中式以太网的关闭方法 |
| CN102457427A (zh) * | 2010-10-27 | 2012-05-16 | 上海澳润通信技术有限公司 | 百兆数据同轴交换机及其数据交换方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105827426A (zh) * | 2015-01-08 | 2016-08-03 | 中国移动通信集团河南有限公司 | 一种链路故障处理方法、装置及系统 |
| CN105827426B (zh) * | 2015-01-08 | 2019-03-15 | 中国移动通信集团河南有限公司 | 一种链路故障处理方法、装置及系统 |
| CN105306315A (zh) * | 2015-09-21 | 2016-02-03 | 烽火通信科技股份有限公司 | 基于smb协议手机远程访问家庭网关设备的系统及方法 |
| CN105306315B (zh) * | 2015-09-21 | 2019-01-29 | 烽火通信科技股份有限公司 | 基于smb协议手机远程访问家庭网关设备的系统及方法 |
| CN109151066A (zh) * | 2018-10-17 | 2019-01-04 | 重庆思柏高科技有限公司 | 物联网设备的通信方法及装置 |
| CN109151066B (zh) * | 2018-10-17 | 2021-03-23 | 重庆思柏高科技有限公司 | 物联网设备的通信方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104660449B (zh) | 防止堆叠分裂多主设备Master的方法和设备 | |
| CN106302535A (zh) | 电力系统的攻击仿真方法、装置及攻击仿真设备 | |
| RU2016113885A (ru) | Способ, устройство и система для получения доступа к сети | |
| US10536480B2 (en) | Method and device for simulating and detecting DDoS attacks in software defined networking | |
| CN103685080A (zh) | 交换机、广域网连接系统、网络及广域网连接控制方法 | |
| CN101984693A (zh) | 终端接入局域网的监控方法和监控装置 | |
| CN101685484A (zh) | 一种计算机及其操作系统间的数据交换方法 | |
| CN105791027B (zh) | 一种工业网络异常中断的检测方法 | |
| CN103731303A (zh) | 一种纵向融合架构接口实现多活性实体检测的方法及设备 | |
| Qassim et al. | Simulating command injection attacks on IEC 60870-5-104 protocol in SCADA system | |
| CN101795187A (zh) | 提高中心服务器拓扑组网可靠性的方法、系统及设备 | |
| CN104580744B (zh) | 终端的控制方法、终端的控制装置和终端 | |
| WO2016091094A1 (zh) | 一种光传送网的保护倒换方法及装置 | |
| US20230087311A1 (en) | System and method for detection and prevention of cyber attacks at in-vehicle networks | |
| JP3859490B2 (ja) | 通信路のスイッチ接続制御システム | |
| CN106548096A (zh) | 数据传输方法及装置 | |
| CN107800715B (zh) | 一种Portal认证方法及接入设备 | |
| CN101997825B (zh) | Dsn网络认证信息请求、存储方法、sn-c节点及系统 | |
| CN102811153A (zh) | Vlan状态的协商方法及边缘设备 | |
| US20210084037A1 (en) | Communication line mutual authentication system in ip network | |
| CN106028319B (zh) | 一种在从属蓝牙设备抵御非法连接攻击的方法和装置 | |
| CN103179685B (zh) | 一种通信链路维护方法及系统 | |
| CN105592095B (zh) | 一种网络接入认证方法及接入认证设备 | |
| CN111343193B (zh) | 云网络端口安全防护方法、装置、电子设备及存储介质 | |
| CN102789656B (zh) | 一种读卡器及门禁系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140326 |