CN112804131B

CN112804131B - 一种基于vlan构造的访问控制方法

Info

Publication number: CN112804131B
Application number: CN202110022713.8A
Authority: CN
Inventors: 方健
Original assignee: Shanghai Ziheng Information Technology Co ltd
Current assignee: Shanghai Ziheng Information Technology Co ltd
Priority date: 2021-01-08
Filing date: 2021-01-08
Publication date: 2021-12-07
Anticipated expiration: 2041-01-08
Also published as: CN112804131A

Abstract

本发明公开了一种基于VLAN构造的访问控制方法，包括以下步骤：S1.进行安全区划分，将整体网络分为若干安全区，同时为安全区分配交换机设备；S2.在一个交换机设备上，建立物理端口或VLAN的逻辑接口的过滤条件；S3.改变交换机接入端口的VLAN本身的TAG属性和PVID分配等逻辑拓扑结构；S4.进行系统设定，划分若干系统。本发明的方法仅仅改变交换机接入端口的VLAN本身的TAG属性和PVID分配等逻辑拓扑结构，实现了等效的访问控制要求，数据包不需要绕行特定的过滤接口，允许互访的端口能够直接互访，不受中间冗余链路切换、通讯设备冗余切换的影响，减少了对网络带宽资源的占用和网络成本。

Description

一种基于VLAN构造的访问控制方法

技术领域

本发明属于网络安全防护技术领域，具体涉及一种基于VLAN构造的访问控制方法。

背景技术

传统网络中，VLAN、VxLAN、基本上用作为按租客、安全区、组织单元、业务、系统进行隔离保护，当隔离的保护区之间需要访问控制时，由于用户已经采用VLAN来隔离保护，往往需要通过三层路由等技术接通网络，然后再采用ACL(访问控制列表)来阻断隔离保护区之间不必要的通讯。

ACL访问控制技术是一种交换机、路由器、内网防火墙都采用的进出规则命令访问控制技术。即通过标准或扩展的ACL命令，在通讯设备端口阻断不允许的通讯，其判断依据主要是是源IP、目标IP、源Mac、目标Mac、TCP/UDP/ICMP(传输和控制协议)五元素检测。其中阻断某种传输和控制协议来防护的应用较少。因此实际上主要采用的是源和目标作为访问控制的判断依据，即指定和限制跨安全区访问对象。

现有技术缺陷和不足：当使用ACL访问控制时，目前无法解决的技术问题：

1)网络物理拓扑架构中，一般分为接入层、汇聚层、核心路由层。经常可能需要使用单臂路由来对各隔离VLAN进行访问控制，此时，由于源地址和目标地址在检测口的同一侧。ACL无法处理。

2)大量使用网络路由或生成树等技术，网络成网格化状态。ACL命令针对于某个通讯端口编写的。数据通路有时非常不可思议。需检测和阻断所有数据流可能的多条通路和方向。选择防御物理位置变得困难。特别是跨多个物理安全区的访问控制。而采用ACL在每个网络交通要道上针对多种业务、系统进行检测阻断。似乎难以实现。

3)对于实时性要求搞得数据，ACL命令条数太多时，检测有一定的延时会影响通讯，而且，一般交换机和路由器为了保证数据传输时延，限制ACL命令条数。

4)恶意程序和不法人员可以通过更改IP或采用网内可以规避检测的IP突破访问控制的限定。

综上所述，我们提出一种基于VLAN构造的访问控制方法。

发明内容

本发明的目的在于提供一种基于VLAN构造的访问控制方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：一种基于VLAN构造的访问控制方法，包括以下步骤：

S1.进行安全区划分，将整体网络分为若干安全区，同时为安全区分配交换机设备；

S2.在一个交换机设备上，建立物理端口或VLAN的逻辑接口的过滤条件；

S3.改变交换机接入端口的VLAN本身的TAG属性和PVID分配等逻辑拓扑结构；

S4.进行系统设定，划分若干系统；

S5.按系统和安全区建立隔离组，同组内成员能够给互相访问，不同组成员不能够互相访问；

S6.建立跨系统、安全区的访问控制组，使不同隔离组的成员之间能够互相访问；

S7.对每台交换机设备的访问组端口进行IP绑定。

优选的，所述S3中还包括对网络和网络逻辑拓扑进行整体规划，具体为：将各安全区、业务、系统等按访问控制的不同访问功能和属性，划分成多个用于访问控制的VLAN，使安全区、业务、系统内所有VLAN间能够互访，安全区中每个VLAN与其它安全区中对应的VLAN按访问控制要求形成新的可互访VLAN组，即访问控制VLAN组。

优选的，所述S7之后还包括在多个安全区/业务/系统间建立指定的访问对象，并建立不同安全区之间源和目标的阻断和互通的访问可控制的关系，具体为：建立IP的访问控制关系和建立端口的访问控制关系。

优选的，所述S4中的系统包括安全区管理单元、系统管理单元、隔离组管理单元、访问管理单元、端口IP绑定单元。

优选的，所述安全区管理单元用于根据地理位置或实际区域，划分安全区，将设备分配至指定安全区。

优选的，所述系统管理单元用于根据实际部门分配，创建对应的系统。

优选的，所述隔离组管理单元用于根据安全区和系统的对应关系，管理和分配隔离组，使得同一个隔离组的成员可以互相访问，不同隔离组之间的成员不能访问，完成访问隔离。

优选的，所述访问管理单元用于根据配置的隔离组，设置跨隔离组访问的端口成员，完成访问控制。

优选的，所述端口IP绑定单元用于配置隔离组成员的端口IP绑定，仅允许绑定的IP进行通信，其他的IP无法通信。

与现有技术相比，本发明的有益效果是：

(1)本发明中的方法提供了在二层链路的SDN来实现安全区访问控制，而不仅仅是提供隔离网络功能，相对于需要采用路由网关贯通VLAN，再用ACL列表来实现边界的访问控制；网络VLAN标识不会丢失，安全区/业务/系统仍拥有专属的一组VLAN隔离标签。

(2)传统的方法可自动根据用户企业的业务系统和云架构自动程序定义逻辑拓扑，同时在复杂网格化的冗余网络中，企业IP数据包可能借用不同的通路通讯，采用物理端口的ACL，需要在所有可能的路径上进行访问控制防护，而本发明中的方法不需要考虑实际的防御位置网络交换机就可以自动根据VLAN标识进行有效隔离防御。

(3)本发明的方法中企业采用二层计算机网络，即使是单台交换机小型控制系统到企业私有云都可以实现可靠的业务数据隔离和访问控制，避免了二层VLAN隔离保护需通过三层路由和ACL实现访问控制通讯，VLAN标识会被丢弃，在路由IP层无系统隔离标识完全互通的环境下，有大量IP可以互访和攻击，仅仅靠ACL来隔离工作量巨大。

(4)当用户对汇聚层、接入层进行VLAN隔离后，采用单臂路由贯通VLAN，在设置ACL时，发现源地址和目标地址在物理端口的同一侧，原理上无法通过进出规则来编写ACL边界访问控制，而本发明不需要单臂路由就可以在汇聚层和接入层进行访问控制，故没有此弊端。

(5)由于VLAN是由交换机标定的，网络病毒能够更改其发出的数据包内容，但无法更改交换机内的标定数据包，因此不可能规避网络对其访问控制的限制。

(6)用户原安全区、业务和系统隔离保护区往往可能用一个VLAN作为隔离标识，现在可能由多个能够互访的专属VLAN组成了安全区、业务和系统，其隔离保护功能等效于原一个VLAN，但增加了一个或多个访问控制的功能的VLAN标识，使具有类似VLAN功能的逻辑拓扑技术也适用于该技术实现访问控制。

附图说明

图1为本发明的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

请参阅图1，本发明提供一种技术方案：一种基于VLAN构造的访问控制方法，包括以下步骤：

S4.进行系统设定，划分若干系统；

S7.对每台交换机设备的访问组端口进行IP绑定。

本实施例中，优选的，所述S3中还包括对网络和网络逻辑拓扑进行整体规划，具体为：将各安全区、业务、系统等按访问控制的不同访问功能和属性，划分成多个用于访问控制的VLAN，使安全区、业务、系统内所有VLAN间能够互访，安全区中每个VLAN与其它安全区中对应的VLAN按访问控制要求形成新的可互访VLAN组，即访问控制VLAN组。

本实施例中，优选的，所述S7之后还包括在多个安全区/业务/系统间建立指定的访问对象，并建立不同安全区之间源和目标的阻断和互通的访问可控制的关系，具体为：建立IP的访问控制关系和建立端口的访问控制关系。

本实施例中，优选的，所述S4中的系统包括安全区管理单元、系统管理单元、隔离组管理单元、访问管理单元、端口IP绑定单元。

本实施例中，优选的，所述安全区管理单元用于根据地理位置或实际区域，划分安全区，将设备分配至指定安全区。

本实施例中，优选的，所述系统管理单元用于根据实际部门分配，创建对应的系统。

本实施例中，优选的，所述隔离组管理单元用于根据安全区和系统的对应关系，管理和分配隔离组，使得同一个隔离组的成员可以互相访问，不同隔离组之间的成员不能访问，完成访问隔离。

本实施例中，优选的，所述访问管理单元用于根据配置的隔离组，设置跨隔离组访问的端口成员，完成访问控制。

本实施例中，优选的，所述端口IP绑定单元用于配置隔离组成员的端口IP绑定，仅允许绑定的IP进行通信，其他的IP无法通信。

实施例2

S4.进行系统设定，划分若干系统；

S7.对每台交换机设备的访问组端口进行IP绑定。

实施例3

S4.进行系统设定，划分若干系统；

S7.对每台交换机设备的访问组端口进行IP绑定。

本实施例中，优选的，软件程序可以通过采用以下分步骤完成计算所需要的VLAN数以及每个特定VLAN应允许的VLAN，具体包括以下步骤：

步骤一、用户需设置一个复杂的隔离和访问控制拓扑逻辑，其中S/1#、S/2#、S/3#为需要保护隔离的业务/系统用户组,V/1#、V/2#、V/3#、V/4#是安全区之间的访问控制通道；

步骤二、比较各网络交换机端口加入用户组和控制组的数量，若数量一样，检查其其加入的用户组和访问控制组是否相同，若相同，为该端口分配同样的VLANID(即同样的PVID)，若不相同分配性的VLANID，为每个网络通讯端口分配合适的VLANID(设置PVID)，并计算出该端口允许通讯的VLAN(即确定那些VLAN标签允许通过该端口，为所在所有组VLAN成员之和)；

步骤三、下发VLAN配置(PVID和允许的VLAN，形成用户所需要的VLAN隔离保护和访问控制逻辑拓扑结构，其本身的VLAN(PVID)和其可以访问的VLAN。

本发明的工作原理：为了能使用户对网络和网络逻辑拓扑整体规划，实现网络互通、隔离保护和访问控制，将各安全区、业务、系统等按访问控制的不同访问功能和属性，划分成多个用于访问控制的VLAN，安全区、业务、系统内所有VLAN间可以互访，安全区中每个VLAN与其它安全区中对应的VLAN按访问控制要求形成新的可互访VLAN组，即访问控制VLAN组(内含一个或多个可互相访问的VLAN)；在多个安全区/业务/系统间建立指定的访问对象，建立了不同安全区之间源和目标的阻断和互通的访问可控制的关系，满足了ACL访问功能，区别在于一个是建立了IP的访问控制关系，另一是建立了端口的访问控制关系，当计算机设定的IP和绑定了通讯讯的口，形成了两者访问控制的逻辑等效关系；

本发明的优点：

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims

1.一种基于VLAN构造的访问控制方法，应用于总体系统，其特征在于：所述总体系统包括安全区管理单元、系统管理单元、隔离组管理单元、访问管理单元、端口IP绑定单元；所述安全区管理单元用于根据地理位置或实际区域，划分安全区，将所述交换机设备分配至指定安全区；所述系统管理单元用于根据实际部门分配，创建对应的系统；所述隔离组管理单元用于根据安全区和系统的对应关系，管理和分配隔离组，使得同一个隔离组的成员可以互相访问，不同隔离组之间的成员不能访问，完成访问隔离；所述访问管理单元用于根据配置的隔离组，设置跨隔离组访问的端口成员，完成访问控制；所述端口IP绑定单元用于配置隔离组成员的端口IP绑定，仅允许绑定的IP进行通信，其他的IP无法通信；所述方法包括以下步骤：

S2.在所述交换机设备上，建立物理端口或VLAN的逻辑接口的过滤条件；

S3.改变所述交换机设备接入端口的VLAN的TAG属性和PVID分配的逻辑拓扑结构，对网络和网络逻辑拓扑进行整体规划，具体为：将各安全区、业务、系统等按访问控制的不同访问功能和属性，划分成多个用于访问控制的VLAN，使安全区、业务、系统内所有VLAN间能够互访，安全区中每个VLAN与其它安全区中对应的VLAN按访问控制要求形成新的可互访VLAN组，即访问控制VLAN组；

S4.进行系统设定，划分若干系统；

S5.按系统和安全区建立隔离组，同组内成员能够给互相访问，不同组成员不能够互相访问，具体的，还包括比较各网络交换机端口加入用户组和控制组的数量，若数量一样，检查其加入的用户组和访问控制组是否相同，若相同，为该端口分配同样的VLANID，若不相同，为每个网络通讯端口分配合适的VLANID，并计算出该端口允许通讯的VLAN；

S6.建立跨系统、安全区的访问控制组，下发VLAN配置和允许的VLAN，形成用户所需要的VLAN隔离保护和访问控制逻辑拓扑结构，其本身的VLAN和其可以访问的VLAN，使不同隔离组的成员之间能够互相访问；

S7.对每台所述交换机设备的访问组端口进行IP绑定。

2.根据权利要求1所述的一种基于VLAN构造的访问控制方法，其特征在于：所述S7之后还包括：在多个安全区/业务/系统间建立指定的访问对象，并建立不同安全区之间源和目标的阻断和互通的访问可控制的关系，建立IP的访问控制关系和建立端口的访问控制关系。