CN110602110A - 一种全网端口隔离方法、装置、设备及存储介质 - Google Patents
一种全网端口隔离方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN110602110A CN110602110A CN201910882723.1A CN201910882723A CN110602110A CN 110602110 A CN110602110 A CN 110602110A CN 201910882723 A CN201910882723 A CN 201910882723A CN 110602110 A CN110602110 A CN 110602110A
- Authority
- CN
- China
- Prior art keywords
- port
- isolation
- message
- switch
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种全网端口隔离方法,应用于第一交换机,该方法包括:通过第一端口接收第一主机发送的第一报文;如果第一端口为预设的第一隔离组中的端口,则修改第一报文,以使修改后的第一报文中携带第一隔离组对应的第一隔离标识;将修改后的第一报文经由交换机网络转发给第二交换机,以使第二交换机基于第一隔离标识,确定是否将第一报文通过第二交换机的第二端口发送给第二主机。应用本发明实施例所提供的技术方案,通过设定的隔离组,可以将多个交换机的多个端口进行全网隔离,方便进行权限管控,可以有效防止恶意攻击,保护重要信息。本发明还公开了一种全网端口隔离装置、设备及存储介质,具有相应技术效果。
Description
技术领域
本发明涉及计算机应用技术领域,特别是涉及一种全网端口隔离方法、装置、设备及存储介质。
背景技术
随着计算机技术的快速发展,交换机网络在企事业单位中的应用范围越来越广泛。各主机之间通过交换机网络通信,进行数据传输等。如果需要对用户进行权限管控等,目前常用的方法是利用虚拟局域网(Virtual Local Area Network,VLAN)技术,划分多个广播域,一个广播域对应一个特定用户组,不同广播域是相互隔离的。
在这种情况下,处于同一虚拟局域网内的用户之间可以任意通信,无法进行进一步的权限管控,很容易发生恶意攻击,无法进行重要信息的保护。
发明内容
本发明的目的是提供一种全网端口隔离方法、装置、设备及存储介质,以方便进行权限管控,可以有效防止恶意攻击,保护重要信息。
为解决上述技术问题,本发明提供如下技术方案:
一种全网端口隔离方法,应用于第一交换机,所述方法包括:
通过第一端口接收第一主机发送的第一报文;
如果所述第一端口为预设的第一隔离组中的端口,则修改所述第一报文,以使修改后的所述第一报文中携带所述第一隔离组对应的第一隔离标识;
将修改后的所述第一报文经由交换机网络转发给第二交换机,以使所述第二交换机基于所述第一隔离标识,确定是否将所述第一报文通过所述第二交换机的第二端口发送给第二主机。
在本发明的一种具体实施方式中,还包括:
在要通过所述第一端口将第二报文发送给所述第一主机时,确定所述第二报文中是否携带隔离标识,所述第二报文为经由所述交换机网络转发的报文;
如果是,则基于所述第二报文中携带的第二隔离标识,确定是否将所述第二报文通过所述第一端口发送给所述第一主机。
在本发明的一种具体实施方式中,所述基于所述第二报文中携带的第二隔离标识,确定是否将所述第二报文通过所述第一端口发送给所述第一主机,包括:
基于所述第二报文中携带的第二隔离标识,确定所述第一端口是否为所述第二隔离标识对应的第二隔离组中的端口;
如果否,则确定将所述第二报文通过所述第一端口发送给所述第一主机。
在本发明的一种具体实施方式中,还包括:
如果确定所述第一端口是所述第二隔离标识对应的第二隔离组中的端口,则对所述第二报文做丢弃处理。
在本发明的一种具体实施方式中,还包括:
如果所述第一端口不是所述第一隔离组中的端口,则将所述第一报文经由所述交换机网络转发出去。
在本发明的一种具体实施方式中,所述修改所述第一报文,以使所述第一报文中携带所述第一隔离组对应的第一隔离标识,包括:
确定所述第一隔离组对应的第一隔离标识;
将所述第一报文中的差分服务代码点DSCP值修改为所述第一隔离标识。
在本发明的一种具体实施方式中,所述确定所述第一隔离组对应的第一隔离标识,包括:
基于统一控制平台通过加密隧道发送的配置信息,确定所述第一隔离组对应的第一隔离标识。
一种全网端口隔离装置,应用于第一交换机,所述装置包括:
报文接收模块,用于通过第一端口接收第一主机发送的第一报文;
报文修改模块,用于如果所述第一端口为预设的第一隔离组中的端口,则修改所述第一报文,以使修改后的所述第一报文中携带所述第一隔离组对应的第一隔离标识;
报文转发模块,用于将修改后的所述第一报文经由交换机网络转发给第二交换机,以使所述第二交换机基于所述第一隔离标识,确定是否将所述第一报文通过所述第二交换机的第二端口发送给第二主机。
一种全网端口隔离设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一项所述全网端口隔离方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述全网端口隔离方法的步骤。
应用本发明实施例所提供的技术方案,第一交换机通过第一端口接收到第一主机发送的第一报文后,如果第一端口为预设的第一隔离组中的端口,则修改第一报文,使得修改后的第一报文中携带第一隔离组对应的第一隔离标识,将修改后的第一报文经由交换机网络转发给第二交换机,第二交换机基于第一隔离标识,可以确定是否将第一报文通过第二交换机的第二端口发送给第二主机。通过设定的隔离组,可以将多个交换机的多个端口进行全网隔离,方便进行权限管控,可以有效防止恶意攻击,保护重要信息。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种全网端口隔离方法的实施流程图;
图2为本发明实施例中一种应用网络系统结构示意图;
图3为本发明实施例中一种具体示例的实施流程图;
图4为本发明实施例中另一种具体示例的实施流程图;
图5为本发明实施例中另一种具体示例的实施流程图;
图6为本发明实施例中一种全网端口隔离装置的结构示意图;
图7为本发明实施例中一种全网端口隔离设备的结构示意图。
具体实施方式
本发明的核心是提供一种全网端口隔离方法,该方法可以应用于第一交换机,第一交换机为交换机网络中的任意一个交换机。交换机网络中可以包括多个交换机,每个交换机的每个端口均可与主机相连。任意一个交换机接收到主机发送的报文后经由交换机网络转发,通过本交换机或者其他交换机发送给相应的其他主机。交换机网络中的多个交换机的多个端口可以构成一个隔离组,通过隔离组的配置可以实现全网端口隔离,处于同一隔离组内的端口之间的流量不通。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1所示,为本发明实施例所提供的一种全网端口隔离方法的实施流程图,该方法可以包括以下步骤:
S110:通过第一端口接收第一主机发送的第一报文。
第一端口为第一交换机上的一个端口。第一主机通过第一端口与第一交换机相连,进行信息交互。
第一主机在有与第二主机的通信需求时,可以通过第一端口向第一主机发送第一报文。第一交换机接收第一主机发送的第一报文。第一报文可以是第一主机发送的任意一个报文。
S120:如果第一端口为预设的第一隔离组中的端口,则修改第一报文,以使修改后的第一报文中携带第一隔离组对应的第一隔离标识。
在本发明实施例中,可以通过统一控制平台对全网端口进行隔离管控。统一控制平台可以与交换机网络中的每个交换机连接,如图2所示。统一控制平台可以为管理员提供管理界面,在管理界面可以展示各个交换机的各个端口,管理员可以通过管理界面选择需要隔离的端口。根据管理员的选择,可以确定隔离组及隔离组的隔离标识。确定的隔离组可以有多个,每个隔离组中可以包含多个端口。如隔离组1中包含交换机1的端口11、端口12、端口13、交换机2的端口21、端口22、端口23。隔离组2中包含交换机1的端口11、端口12、交换机3的端口34、端口35。隔离组1的隔离标识为1,隔离组2的隔离标识为2。当然,上述仅为示例,隔离标识还可以是其他形式的标识,只要能够唯一标识一个隔离组即可。
统一控制平台基于确定的隔离组及隔离标识,生成配置信息,发送给交换机网络中的各个交换机,或者仅发送给存在隔离组中端口的交换机。每个交换机接收到配置信息后,可以进行端口配置,设定访问控制列表(Access Control List,ACL)规则。访问控制列表,是一种基于包过滤的访问控制技术,可以根据设定的条件对端口上的数据包进行过滤,允许其通过或者丢弃,以及修改报文内容。访问控制列表被广泛地应用于路由器和三层交换机。借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
第一交换机通过第一端口接收到第一主机发送的第一报文后,可以先确定第一端口是否为预设的第一隔离组中的端口,第一隔离组可以是预设的任意一个隔离组。
如果确定第一端口不是第一隔离组中的端口,则可以将第一报文经由交换机网络转发出去。即不对第一报文进行添加隔离标识等修改,直接将第一报文经由交换机网络转发给相应交换机。
如果确定第一端口为预设的第一隔离组中的端口,则表明需要对该第一端口与第一隔离组中其他端口隔离,使得第一端口连接的主机与第一隔离组中其他端口连接的主机之间流量不通。在这种情况下,第一交换机可以修改第一报文,以使修改后的第一报文中携带第一隔离组对应的第一隔离标识。
在实际应用中,可以通过在第一报文中添加隔离标识的标志位修改第一报文,即在隔离标识的标志位中添加第一隔离组对应的第一隔离标识。如第一隔离组的ID号为1,其对应的第一隔离标识可以为1。
在本发明的一种具体实施方式中,可以先确定第一隔离组对应的第一隔离标识,然后将第一报文中的差分服务代码点DSCP值修改为第一隔离标识。
在本发明实施例中,可以先确定第一隔离组对应的第一隔离标识,如第一隔离组的ID号为1,则其对应的第一隔离标识可以为1。具体的,可以基于统一控制平台通过加密隧道发送的配置信息,确定第一隔离组对应的第一隔离标识。统一控制平台通过加密隧道向各个交换机发送配置信息,可以保证配置信息的安全性,配置信息中可以包含隔离组和相应的隔离标识等信息。确定第一隔离标识后,可以将第一报文中的差分服务代码点DSCP值修改为第一隔离标识。
差分服务代码点(Differentiated Service Code Point,DSCP),原本是在每个数据包IP头部的服务类别TOS标识字节中,利用已使用的6比特和未使用的2比特,通过编码值来区分优先级。本发明实施例对其表征含义进行替换,使用差分服务代码点进行隔离标识的区分。这样不需要在报文中额外添加其他标志位,不需要更改报文格式,可以避免增加报文识别难度。
S130:将修改后的第一报文经由交换机网络转发给第二交换机,以使第二交换机基于第一隔离标识,确定是否将第一报文通过第二交换机的第二端口发送给第二主机。
在实际应用中,第一报文由第一主机通过第一端口发送给第一交换机,第一主机为第一报文的源主机,第一报文中可以携带目的主机的MAC地址、IP地址等信息。第一交换机对第一报文进行修改后,可以基于第一报文中携带的地址相关信息,将修改后的第一报文经由交换机网络转发给相应的交换机,如第二交换机。具体的,可以由第一交换机的片上集成系统(System on Chip,SoC)按照硬件转发逻辑将修改后的第一报文转发到本交换机的出接口,进而进入交换机网络进行转发。
第二交换机接收到修改后的第一报文后,确定要通过自身的第二端口将第一报文发送给第二主机。第二主机即为目的主机。第二交换机可以先确定第一报文中是否携带隔离标识。如果携带,则可以基于第一报文中携带的第一隔离标识,确定是否将第一报文通过第二端口发送给第二主机。
具体的,第二交换机可以基于第一报文中携带的第一隔离标识,确定第二端口是否为第一隔离组中的端口,如果是,则表明第一端口和第二端口是需要相互隔离的端口,第一端口连接的主机与第二端口连接的主机之间不能进行通信,流量不通。在这种情况下,第二交换机可以对第一报文做丢弃处理。
如果确定第二端口不是第一隔离组中的端口,则表明第一端口和第二端口并非需要相互隔离的端口,第一端口连接的主机和第二端口连接的主机之间可以正常通信。在这种情况下,第二交换机可以将第一报文通过第二端口发送给第二主机。
应用本发明实施例所提供的方法,第一交换机通过第一端口接收到第一主机发送的第一报文后,如果第一端口为预设的第一隔离组中的端口,则修改第一报文,使得修改后的第一报文中携带第一隔离组对应的第一隔离标识,将修改后的第一报文经由交换机网络转发给第二交换机,第二交换机基于第一隔离标识,可以确定是否将第一报文通过第二交换机的第二端口发送给第二主机。通过设定的隔离组,可以将多个交换机的多个端口进行全网隔离,方便进行权限管控,可以有效防止恶意攻击,保护重要信息。
在本发明的一个实施例中,该方法还可以包括以下步骤:
步骤一:在要通过第一端口将第二报文发送给第一主机时,确定第二报文中是否携带隔离标识,第二报文为经由交换机网络转发的报文;如果是,则执行步骤二的操作。
步骤二:基于第二报文中携带的第二隔离标识,确定是否将第二报文通过第一端口发送给第一主机。
为便于描述,将上述两个步骤结合起来进行说明。
在实际应用中,第一主机通过第一端口与第一交换机连接,当有其他主机向第一主机发送报文时,该报文经由交换机网络会达到第一交换机。
第一交换机在要通过第一端口将第二报文发送给第一主机时,可以先确定第二报文中是否携带隔离标识,第二报文为经由交换机网络转发的报文。
如果第二报文中携带隔离标识,则表明需要对第二报文的源端口和目的端口进行端口隔离。第二报文的源端口可以理解为发出第二报文的主机与交换机连接的交换机上的端口,第二报文的目的端口可以理解为要接收第二报文的主机与交换机连接的交换机上的端口。在这种情况下,可以基于第二报文中携带的第二隔离标识,确定第一端口是否为待隔离端口,以确定是否将第二报文通过第一端口发送给第一主机。
具体的,可以基于第二报文中携带的第二隔离标识,确定第一端口是否为第二隔离标识对应的第二隔离组中的端口。如前面实施例所描述的,当一个交换机通过某个端口接收到主机发送的报文时,如果该端口为某个隔离组中的端口,则可以修改该报文,使得修改后的该报文中携带该隔离组对应的隔离标识,然后再将修改后的该报文经由交换机网络转发给目的交换机。基于此,可以理解的是,如果第一交换机接收到经由交换机网络转发的第二报文,且第二报文中携带隔离标识,则通过第二报文携带的第二隔离标识,可以确定第二隔离标识对应的第二隔离组,从而基于预先获得的配置信息,或者预先生成的访问控制列表规则,可以确定第一端口是否为第二隔离组中的端口。
如果第一端口不是第二隔离组中的端口,则表明第一端口并非需要隔离的端口,可以确定将第二报文通过第一端口发送给第一主机,并执行发送操作。如果第一端口是第二隔离组中的端口,则表明第一端口是需要隔离的端口,第一交换机可以对第二报文做丢弃处理。
为便于理解,下面通过具体实例对本发明实施例所提供的技术方案进行说明。
例1:
以交换机1的端口1和交换机2的端口2为隔离组1中的端口为例,交换机1的端口1连接主机1,交换机2的端口2连接主机2。如图3所示:
主机1要向主机2发送一个报文,先将报文通过端口1发送给交换机1;
交换机1确定端口1为隔离组1中的端口,对该报文进行修改,修改后的报文中携带隔离组1对应的隔离标识1;
交换机1将修改后的报文经由交换机网络转发给交换机2;
交换机2先确定接收到的报文中是否携带隔离标识,如果确定携带,则基于携带的隔离标识1,确定端口2为隔离组1中的端口,对该报文进行丢弃处理。
例2:
以交换机1的端口1和交换机2的端口3为隔离组1中的端口为例,交换机1的端口1连接主机1,交换机2的端口2连接主机2。如图4所示:
主机1要向主机2发送一个报文,先将报文通过端口1发送给交换机1;
交换机1确定端口1为隔离组1中的端口,对该报文进行修改,修改后的报文中携带隔离组1对应的隔离标识1;
交换机1将修改后的报文经由交换机网络转发给交换机2;
交换机2先确定接收到的报文中是否携带隔离标识,如果确定携带,则基于携带的隔离标识1,确定端口2不是隔离组1中的端口,将该报文通过端口2发送给主机2。
例3:
以交换机1的端口2和交换机2的端口2为隔离组1中的端口为例,交换机1的端口1连接主机1,交换机2的端口2连接主机2。如图5所示:
主机1要向主机2发送一个报文,先将报文通过端口1发送给交换机1;
交换机1确定端口1不是隔离组1中的端口,直接将报文经由交换机网络转发给交换机2;
交换机2先确定接收到的报文中是否携带隔离标识,如果确定未携带,则将该报文通过端口2发送给主机2。
本发明实施例所提供的全网端口隔离方法,可以跨交换机设备进行端口隔离,即使用户在相同的虚拟局域网内,也可做到权限的管控,防止恶意攻击,可以进行重要信息的保护等。
相应于上面的方法实施例,本发明实施例还提供了一种全网端口隔离装置,应用于第一交换机,下文描述的一种全网端口隔离装置与上文描述的一种全网端口隔离方法可相互对应参照。
参见图6所示,该装置包括:
报文接收模块210,用于通过第一端口接收第一主机发送的第一报文;
报文修改模块220,用于如果第一端口为预设的第一隔离组中的端口,则修改第一报文,以使修改后的第一报文中携带第一隔离组对应的第一隔离标识;
报文转发模块230,用于将修改后的第一报文经由交换机网络转发给第二交换机,以使第二交换机基于第一隔离标识,确定是否将第一报文通过第二交换机的第二端口发送给第二主机。
应用本发明实施例所提供的装置,第一交换机通过第一端口接收到第一主机发送的第一报文后,如果第一端口为预设的第一隔离组中的端口,则修改第一报文,使得修改后的第一报文中携带第一隔离组对应的第一隔离标识,将修改后的第一报文经由交换机网络转发给第二交换机,第二交换机基于第一隔离标识,可以确定是否将第一报文通过第二交换机的第二端口发送给第二主机。通过设定的隔离组,可以将多个交换机的多个端口进行全网隔离,方便进行权限管控,可以有效防止恶意攻击,保护重要信息。
在本发明的一种具体实施方式中,还包括报文发送确定模块,用于:
在要通过第一端口将第二报文发送给第一主机时,确定第二报文中是否携带隔离标识,第二报文为经由交换机网络转发的报文;
如果是,则基于第二报文中携带的第二隔离标识,确定是否将第二报文通过第一端口发送给第一主机。
在本发明的一种具体实施方式中,报文发送确定模块,具体用于:
基于第二报文中携带的第二隔离标识,确定第一端口是否为第二隔离标识对应的第二隔离组中的端口;
如果否,则确定将第二报文通过第一端口发送给第一主机。
在本发明的一种具体实施方式中,还包括报文丢弃模块,用于:
如果确定第一端口是第二隔离标识对应的第二隔离组中的端口,则对第二报文做丢弃处理。
在本发明的一种具体实施方式中,报文转发模块,还用于:
如果第一端口不是第一隔离组中的端口,则将第一报文经由交换机网络转发出去。
在本发明的一种具体实施方式中,报文修改模块220,具体用于:
确定第一隔离组对应的第一隔离标识;
将第一报文中的差分服务代码点DSCP值修改为第一隔离标识。
在本发明的一种具体实施方式中,报文修改模块220,具体用于:
基于统一控制平台通过加密隧道发送的配置信息,确定第一隔离组对应的第一隔离标识。
相应于上面的方法实施例,本发明实施例还提供了一种全网端口隔离设备,应用于第一交换机,如图7所示,该设备包括:
存储器310,用于存储计算机程序;
处理器320,用于执行计算机程序时实现上述全网端口隔离方法的步骤。
相应于上面的方法实施例,本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述全网端口隔离方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种全网端口隔离方法,其特征在于,应用于第一交换机,所述方法包括:
通过第一端口接收第一主机发送的第一报文;
如果所述第一端口为预设的第一隔离组中的端口,则修改所述第一报文,以使修改后的所述第一报文中携带所述第一隔离组对应的第一隔离标识;
将修改后的所述第一报文经由交换机网络转发给第二交换机,以使所述第二交换机基于所述第一隔离标识,确定是否将所述第一报文通过所述第二交换机的第二端口发送给第二主机。
2.根据权利要求1所述的方法,其特征在于,还包括:
在要通过所述第一端口将第二报文发送给所述第一主机时,确定所述第二报文中是否携带隔离标识,所述第二报文为经由所述交换机网络转发的报文;
如果是,则基于所述第二报文中携带的第二隔离标识,确定是否将所述第二报文通过所述第一端口发送给所述第一主机。
3.根据权利要求2所述的方法,其特征在于,所述基于所述第二报文中携带的第二隔离标识,确定是否将所述第二报文通过所述第一端口发送给所述第一主机,包括:
基于所述第二报文中携带的第二隔离标识,确定所述第一端口是否为所述第二隔离标识对应的第二隔离组中的端口;
如果否,则确定将所述第二报文通过所述第一端口发送给所述第一主机。
4.根据权利要求3所述的方法,其特征在于,还包括:
如果确定所述第一端口是所述第二隔离标识对应的第二隔离组中的端口,则对所述第二报文做丢弃处理。
5.根据权利要求1所述的方法,其特征在于,还包括:
如果所述第一端口不是所述第一隔离组中的端口,则将所述第一报文经由所述交换机网络转发出去。
6.根据权利要求1至5之中任一项所述的方法,其特征在于,所述修改所述第一报文,以使所述第一报文中携带所述第一隔离组对应的第一隔离标识,包括:
确定所述第一隔离组对应的第一隔离标识;
将所述第一报文中的差分服务代码点DSCP值修改为所述第一隔离标识。
7.根据权利要求6所述的方法,其特征在于,所述确定所述第一隔离组对应的第一隔离标识,包括:
基于统一控制平台通过加密隧道发送的配置信息,确定所述第一隔离组对应的第一隔离标识。
8.一种全网端口隔离装置,其特征在于,应用于第一交换机,所述装置包括:
报文接收模块,用于通过第一端口接收第一主机发送的第一报文;
报文修改模块,用于如果所述第一端口为预设的第一隔离组中的端口,则修改所述第一报文,以使修改后的所述第一报文中携带所述第一隔离组对应的第一隔离标识;
报文转发模块,用于将修改后的所述第一报文经由交换机网络转发给第二交换机,以使所述第二交换机基于所述第一隔离标识,确定是否将所述第一报文通过所述第二交换机的第二端口发送给第二主机。
9.一种全网端口隔离设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述全网端口隔离方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述全网端口隔离方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910882723.1A CN110602110A (zh) | 2019-09-18 | 2019-09-18 | 一种全网端口隔离方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910882723.1A CN110602110A (zh) | 2019-09-18 | 2019-09-18 | 一种全网端口隔离方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110602110A true CN110602110A (zh) | 2019-12-20 |
Family
ID=68860835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910882723.1A Pending CN110602110A (zh) | 2019-09-18 | 2019-09-18 | 一种全网端口隔离方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110602110A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022007649A1 (zh) * | 2020-07-10 | 2022-01-13 | 华为技术有限公司 | 一种报文处理方法及装置 |
| WO2022218095A1 (zh) * | 2021-04-15 | 2022-10-20 | 华为技术有限公司 | 一种报文处理方法及相关设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104734953A (zh) * | 2015-03-24 | 2015-06-24 | 福建星网锐捷网络有限公司 | 基于vlan实现报文二层隔离的方法、装置及交换机 |
| CN105227363A (zh) * | 2015-10-08 | 2016-01-06 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的全网络端口隔离方法及装置 |
| CN109525582A (zh) * | 2018-11-19 | 2019-03-26 | 北京六方领安网络科技有限公司 | 报文处理方法、系统及存储介质 |
-
2019
- 2019-09-18 CN CN201910882723.1A patent/CN110602110A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104734953A (zh) * | 2015-03-24 | 2015-06-24 | 福建星网锐捷网络有限公司 | 基于vlan实现报文二层隔离的方法、装置及交换机 |
| CN105227363A (zh) * | 2015-10-08 | 2016-01-06 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的全网络端口隔离方法及装置 |
| CN109525582A (zh) * | 2018-11-19 | 2019-03-26 | 北京六方领安网络科技有限公司 | 报文处理方法、系统及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022007649A1 (zh) * | 2020-07-10 | 2022-01-13 | 华为技术有限公司 | 一种报文处理方法及装置 |
| WO2022218095A1 (zh) * | 2021-04-15 | 2022-10-20 | 华为技术有限公司 | 一种报文处理方法及相关设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109861924B (zh) | 报文的发送、处理方法及装置,pe节点,节点 | |
| EP1463239B1 (en) | Method and apparatus for protection of network infrastructure and for secure communication of control information | |
| CA2515510C (en) | Method and apparatus for enforcing security groups for vlans | |
| Kent et al. | RFC 4301: Security architecture for the Internet protocol | |
| EP2345212B1 (en) | Method and apparatus for forwarding data packets using aggregating router keys | |
| CN101682656B (zh) | 用于保护数据分组的路由选择的方法和设备 | |
| US10425327B2 (en) | System and method for routing in software defined networks using a flow header | |
| US20050190758A1 (en) | Security groups for VLANs | |
| EP2595357A2 (en) | Method performed in a network device and system for packet handling | |
| CN106161226B (zh) | 发送、接收流规范规则的方法和装置 | |
| Keromytis et al. | Transparent Network Security Policy Enforcement. | |
| CN113746788A (zh) | 一种数据处理方法及装置 | |
| Yao et al. | VASE: Filtering IP spoofing traffic with agility | |
| CN110602110A (zh) | 一种全网端口隔离方法、装置、设备及存储介质 | |
| Wong et al. | Network infrastructure security | |
| WO2007033541A1 (fr) | Procede de realisation de securisation du reseau par segmentation le ttl | |
| CN109167774B (zh) | 一种数据报文及在防火墙上的数据流安全互访方法 | |
| Ullmann | Rap: Internet Route Access Protocol | |
| CN112787940A (zh) | 一种多级vpn加密传输方法、系统、设备及存储介质 | |
| US8892884B2 (en) | Managing IPsec security associations using discrete domains | |
| CN113542188A (zh) | 报文检测的方法以及第一网络设备 | |
| US20130133060A1 (en) | Communication system, control device and control program | |
| US20230388270A1 (en) | Method and device for prioritising packet flows | |
| US20230421536A1 (en) | Methods and devices for protecting a stream of packets | |
| CN115037459B (zh) | 一种新型IPsec密钥分配方法及分配系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191220 |
|
| RJ01 | Rejection of invention patent application after publication |