专利名称:基于虚拟局域网的数据发送方法与装置的制作方法
技术领域:
本发明涉及一种网络数据安全发送方法与装置,尤其涉及一种基于虚拟局域网的数据发送方法与装置。
背景技术:
经济社会的发展要求各用户之间的通信和资源共享,需要将一批计算机连成网络,这样就隐含着信息泄露的风险,同时包含了极大的脆弱性和复杂性。随着网络应用范围的扩大,信息的泄露问题也变得日益严重,因此,计算机网络的安全性问题就越来越重要。计算机网络中,为解决IP地址匮乏问题以及信息共享的需求,局域网是使用最为广泛的一种,其采用广播方式,在同一个广播域中可以侦听到在该局域网上传输的所有信息包,虽然这方便了信息的交互,但存在着不安全的因素。
为解决局域网的安全性,而提出了VLAN(Virtual Local Area Network,虚拟局域网)。VLAN所连接的设备可以来自不同的网段,但是相互之间可以进行直接通信,好像处于同一网段中一样,由此得名虚拟局域网。相比较传统的局域网布局,VLAN技术更加灵活。由于交换机只能在同一VLAN内的端口之间交换数据,不同VLAN的端口不能直接访问,因此,通过划分VLAN可以提高网络的安全性。
而为保证网络安全,高端以太网交换机在应用中,经常需要对企业中特定的信息区域进行保护,对其中的流量进行监测,将这些信息区域同其他信息区域进行隔离,只在一定的安全策略的基础上才允许不同区域的相关业务进行互通。这种需求意味着在高端交换机上需要通过防火墙设备来实现。但防火墙设备一般只是将区域划分成外网、内网和DMZ(demilitarized zone,隔离区),不能够配合高端交换机基于VLAN进行不同安全区域的划分。所以在高端交换机上如何实现基于交换机的安全VLAN的设计,能够真正有效地解决交换机中缺少安全防护和安全隔离功能成了亟待解决的问题。
安全防护VLAN的设计是基于交换机传统VLAN的基础上进行的。如图1所示,目前的VLAN多是通过三层转换机制实现数据互通的,具体流程如下步骤100,流程开始;
步骤101,交换机的VLAN端口接收到待发送数据报文;步骤102,交换机根据上述数据报文获取目的MAC(Media Access Control,媒体接入控制)地址;步骤103,判断上述MAC地址是否是该VLAN内地址,若是则进入步骤104,否则进入步骤105;步骤104,在同一VLAN内进行转发;流程结束;步骤105,交换机获取数据报文的目的IP地址,并查找路由表;步骤106,判断上述目的IP地址是否有命中的路由项;若是,则进入步骤108,否则进入步骤107;步骤107,丢弃该数据报文;流程结束;步骤108,得到目的IP地址的接口,根据该接口获取其MAC地址,替换原有MAC地址;步骤109,根据获取的目的MAC地址,将数据报文从该MAC地址对应的端口转发出去;步骤110,流程结束。
从转发流程上来看,传统交换机VLAN之间的数据转发,是完全基于路由的方式进行的。这种情况下,VLAN之间的转发没有任何安全保障,没有受控的安全转发。这样交换机即使实现了VLAN的划分,对于企业内各个部门之间的安全网络隔离和受控安全防范转发,没有起到相应的作用,显然不能满足用户的安全网络的需求。
发明内容
针对上述现有的VLAN之间的数据转发方法所存在的问题和不足,本发明的目的是提供一种可明显提高VLAN数据安全性的基于虚拟局域网的数据发送方法与装置。
本发明是这样实现的一种基于虚拟局域网的数据发送方法,为每一个虚拟局域网设置安全等级标识及与该安全等级标识对应的安全策略;该方法包括以下步骤(1)交换机的虚拟局域网VLAN端口接收到网络数据报文,判断该网络数据报文是否在同一个虚拟局域网内传输,若是,则在同一VLAN内进行转发;若否,则进入步骤(2);(2)查找所述网络数据报文的目的地址所在的VLAN及其安全等级标识,并与发送网络数据报文的VLAN的安全等级标识进行比较;若发送网络数据报文的VLAN的安全等级高于或等于所述目的地址所在VLAN的安全等级,则直接转发该网络数据报文;若低于所述目的地址所在VLAN的安全等级,则调用该目的地址所在VLAN的安全策略,对该网络数据报文进行安全过滤处理。
其中,安全过滤处理具体为直接丢弃网络数据报文、直接转发网络数据报文、对发送网络数据报文的虚拟局域网进行安全认证、根据网络数据报文类型而进行选择性转发或者对网络数据报文进行统计。
其中,所述为虚拟局域网设置安全等级标识及安全策略具体是通过对所述虚拟局域网中的交换机的数据收发接口进行设置来实现的。
其中,所述步骤(2)中查找所述网络数据报文的目的地址所在的VLAN具体是根据所述网络数据报文的目的地址在路由表进行查找的,若路由表中不存在该目的地址的路由项,则丢弃所述网络数据报文。
其中,所述虚拟局域网的安全等级标识是通过设置的安全系数实现的;所述安全等级标识比较即是安全系数之间的比较。
一种基于虚拟局域网的数据发送装置,包括安全等级标识及安全策略配置单元,用于为每个虚拟局域网VLAN配置安全等级标识及相应的安全策略;数据报文发送地判断单元,用于判断待发送的网络数据报文是否在同一个VLAN内传输;安全等级标识查找单元,用于查找网络数据报文的目的地址所在VLAN的安全等级标识;安全等级标识比较单元,用于比较发送网络数据报文的VLAN与网络数据报文目的地址所在的VLAN的安全等级大小;安全过滤单元,调用网络数据报文目的地址所在的VLAN的安全策略,根据该安全策略对网络数据报文进行安全过滤;网络数据报文转发单元,对网络数据报文进行转发;数据存储单元,用于存储VLAN配置的安全等级标识及相应的安全策略;
当有网络数据报文需要发送时,数据报文发送地判断单元判断网络数据报文是否在同一VLAN内发送,若是,则由网络数据报文转发单元直接转发;若否,则通过安全等级标识查找单元查找网络数据报文目的地址所在的VLAN的安全等级标识,并由安全等级标识比较单元比较所述需要发送网络数据报文的VLAN与该网络数据报文目的地址所在的VLAN的安全等级标识的大小,若发送网络数据报文的VLAN的安全等级高于或等于网络数据报文目的地址所在的VLAN的安全等级,则由网络数据报文转发单元直接转发;否则由安全过滤单元调用数据存储单元中的网络数据报文目的地址所在的VLAN的安全策略,对所述网络数据报文进行安全过滤处理。
本发明根据VLAN客户机的数据重要性,对各VLAN进行级别划分,不同级别VLAN的安全策略不同,实现了VLAN之间、VLAN与非VLAN之间的数据安全通信,优先保证了高级别VLAN客户机的数据安全性。本发明可以实现基于VLAN实现安全区域的划分和安全策略制定及转发,既保留了过去VLAN的功能(广播域的划分),又使VLAN具有了安全区域及其安全策略的功能。
图1是现有VLAN数据发送流程图;图2是本发明基于VLAN的数据发送流程图;图3是本发明基于VLAN的数据发送的结构示意图。
具体实施例方式
下面结合附图对本发明进行详细描述。
本发明是在三层交换机上的虚拟局域网VLAN数据转发的基础上,针对企业内各个VLAN之间进行隔离、受控转发而实现的VLAN数据转发方法。以下详细说明本发明的流程。
本发明在配置VLAN时,需要配置各VLAN的安全等级标识(安全系数)及与该安全等级标识对应的安全策略。每个VLAN都具有自己的安全系数,具体根据VLAN内客户机的安全要求设定,例如可定义在1-100范围内,安全系数为1的VLAN安全级别最低,安全系数为100的VLAN安全级别最高。由于安全系数表征了该VLAN的安全保护级别,所以针对该VLAN对安全性能的不同要求配置不同的安全系数。比如说需要重点保护的区域(一个区域就是一个VLAN),配置其安全系数为80-100;如果是普通的内网区域,配置其安全系数为40-60;如果是Intranet区域,配置其安全系数为30-60;如果是外网区域,配置其安全系数为10-20,如果是普通局域网等默认没有安全级别要求的网络,则可以配置其安全系数为0。根据VLAN的安全系数设置相应的安全策略,各个安全策略定义了数据在跨越不同VLAN转发时需要采用的动作。如果某一安全级别较低的VLAN中的数据报文需要进入另一安全级别较高的VLAN,那么该报文在进入级别较高的VLAN时,应该按照该级别较高VLAN定义的安全策略进行安全过滤处理。如果某一安全级别较高的VLAN中数据报文需要进入另一安全级别较低的VLAN,则不受其所进入的VLAN的安全策略的过滤。
本发明中,所述安全策略包括但不限于以下几种直接转发(FORWARDING),即不需要其他验证等处理直接转发;先发起远程拨入用户认证服务认证,在认证通过后进行转发,如果未通过认证则不进行报文的转发;本发明可采用RADIUS(Remote Authentication Dial In UserService,远程拨入用户认证服务)认证、802.1X认证或portal认证等认证方式。其中,RADIUS认证是基于用户名、接入口令及接入权限进行的认证;802.1X认证是一种基于端口的网络接入控制技术,在设备的端口对接入设备进行认证和控制。连接在该类端口上的用户设备如果能通过认证就可以访问网内的资源,如果不能通过认证则无法访问,相当于物理上断开连接。portal认证是基于基本的用户名/密码进行的认证。本发明中,认证是由用户配置实现的,认证的发起是由设备强制进行的。
还有丢弃报文、采用其他协议封装、选择性转发、统计计数等。
如图2所示,本发明基于VLAN的数据发送方法的具体流程如下步骤210,交换机的VLAN端口接收到网络数据报文;步骤211,交换机根据上述网络数据报文获取目的MAC地址,并判断该目的MAC地址是否在该VLAN内,若是则进入步骤212,否则进入步骤213;步骤212,在同一VLAN内进行转发;流程结束。
步骤213,获取出端口(目的地址对应的端口)所属的VLAN(数据接收VLAN)的安全系数(安全标识);步骤214,交换机获取数据报文的目的IP地址,并查找路由表,判断上述目的IP地址是否有命中的路由项,若有,则进入步骤215;否则丢弃该数据报文(图中未示出该分支),流程结束。
步骤215,根据路由项对应的路由信息获取上述目的地址对应出端口所在的VLAN的安全系数;步骤216,比较入LAN(即数据发送VLAN,入端口对应的VLAN的安全系数)的安全系数与出VLAN(数据接收VLAN,出端口对应的VLAN)安全系数的大小,若入VLAN的安全系数小于出VLAN安全系数的,则进入步骤218;否则(入VLAN的安全系数大于或等于出VLAN安全系数的大小)进入步骤217;步骤217,直接向出VLAN的端口转发数据报文;流程结束。
步骤218,获取出端口对应的VLAN的安全策略,对报文进行安全过滤;步骤219,根据安全策略判断是否将数据报文直接丢弃;若是则直接丢弃报文,流程结束;否则进入步骤220;步骤220,获取安全系数较大的VLAN的安全策略,依据安全策略对网络数据报文进行安全过滤,这里的安全过滤包括但不限于先发起RADIUS认证,对发送数据包的虚拟局域网进行用户名、接入口令及接入权限进行认证,在认证通过后进行转发,不通过认证则丢弃数据包;采用其他协议封装后再进行转发;选择性转发对发送数据包的虚拟局域网的数据包类型与允许接收数据包类型进行匹配,若符合安全系数较大的VLAN要求,则进行转发,否则丢弃数据包;统计计数安全系数较大的VLAN允许接收数据包,交换机对该VLAN接收的数据包进行数目统计,以作为日志。
步骤221,对网络数据报文进行上述安全过滤后发送到出端口对应的VLAN发送队列中等待发送。
步骤222,将队列中的数据报文转发。
为使本领域技术人员更好地理解本发明,下面以具体示例说明本发明的策略配置。如对于编号为9的VLAN,可配置如下策略#vlan 9;vlan 9# security policy(配置VLAN9的安全策略)vlan9<policy>#deny all (拒绝所有数据报文)permit source ip 10.0.1.1255.255.0.0FORWARDING(允许IP地址10.0.1.1掩码为255.255.0.0的网段的客户机的数据转发)permit source port 80 statics(对资源端口80进行数据统计)
本发明VLAN可基于端口而设置的。而对VLAN设置安全等级标识及与该安全等级标识对应的安全策略可通过设置交换机的相应收发接口实现。
以下描述实现上述流程的装置。
如图3所示,本发明基于VLAN的数据发送的装置包括安全等级标识及安全策略配置单元310,用于为每个虚拟局域网VLAN配置安全等级标识及相应的安全策略;可通过设置交换机的相应收发接口而实现这些配置,并与相应的路由项对应,并将这些配置及与路由项的对应信息(包括地址信息)存储在数据存储单元314中;数据报文发送地判断单元311,提取待发送网络数据报文的MAC地址,根据该MAC地址判断待发送的网络数据报文是否在同一个VLAN内传输;安全等级标识查找单元312,用于查找网络数据报文的目的地址所在VLAN的安全等级标识;安全等级标识比较单元313,用于比较发送网络数据报文的VLAN与网络数据报文目的地址所在的VLAN的安全等级标识的大小,以确定是否需要对网络数据报文进行安全过滤处理;安全过滤单元315,调用网络数据报文目的地址所在的VLAN的安全策略,根据该安全策略对网络数据报文进行安全过滤;如前文方法流程中所述,本发明的安全策略可以有多种,如认证策略、丢弃策略等,可依据用户的需求而任意设置,这里不再赘述;网络数据报文转发单元316,对网络数据报文进行转发;数据存储单元314,用于存储VLAN配置的安全等级标识及相应的安全策略、待发送网络数据报文,以及执行的程序等;本发明的数据存储单元可通过RAM、ROM、闪存等单个或组合而实现;对于网络数据报文的缓存可以和现有技术中的存储方式相同,存储在所述数据存储单元314中,需要的地址信息都可以从中获得。
下面详细描述本发明基于VLAN的数据发送的装置的工作流程首先通过安全等级标识及安全策略配置单元310为每个VLAN配置安全等级标识及相应的安全策略;当有网络数据报文需要发送时,数据报文发送地判断单元311判断网络数据报文是否在同一VLAN内发送,若是,则由网络数据报文转发单元316直接转发;若否,则通过安全等级标识查找单元312查找网络数据报文目的地址所在的VLAN的安全等级标识,并由安全等级标识比较单元313比较所述需要发送网络数据报文的VLAN与该网络数据报文目的地址所在的VLAN的安全等级标识的大小,若需要发送网络数据报文的VLAN的安全等级标识高于或等于网络数据报文目的地址所在的VLAN的安全等级标识,则由网络数据报文转发单元316直接转发;否则由安全过滤单元315调用数据存储单元314中的网络数据报文目的地址所在的VLAN的安全策略,对所述网络数据报文进行安全过滤处理。
本领域技术人员应当理解,上述各单元可通过相应的电路、程序或其结合的形式而实现。上述的实现方式不应当理解为对本发明的限定。
本发明可以实现基于VLAN实现安全区域的划分和安全策略制定及转发。既保留了过去VLAN的功能(广播域的划分;过去VLAN的功能就是通过VLAN实现广播域的划分,VLAN之间互通需要通过三层转发实现),又使VLAN具有了安全区域及其安全策略的功能。使交换机具有防火墙的功能。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,本领域技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种基于虚拟局域网的数据发送方法,其特征在于,为每一个虚拟局域网设置安全等级标识及与该安全等级标识对应的安全策略,该方法包括以下步骤(1)交换机的虚拟局域网VLAN端口接收到网络数据报文,判断该网络数据报文是否在同一个虚拟局域网内传输,若是,则在同一VLAN内进行转发;若否,则进入步骤(2);(2)查找所述网络数据报文的目的地址所在的VLAN的安全等级标识,并与发送网络数据报文的VLAN的安全等级标识进行比较;若发送网络数据报文的VLAN的安全等级高于或等于所述目的地址所在VLAN的安全等级,则直接转发该网络数据报文;若低于所述目的地址所在VLAN的安全等级,则根据该目的地址所在VLAN的安全策略,对该网络数据报文进行安全过滤处理。
2.根据权利要求1所述的基于虚拟局域网的数据发送方法,其特征在于,所述为虚拟局域网设置安全等级标识及安全策略具体是通过对所述虚拟局域网中的交换机的数据收发接口进行设置来实现的。
3.根据权利要求1所述的基于虚拟局域网的数据发送方法,其特征在于,所述步骤(2)中查找所述网络数据报文的目的地址所在的VLAN具体是根据所述网络数据报文的目的地址在路由表中进行查找的,若路由表中不存在该目的地址的路由项,则丢弃所述网络数据报文。
4.根据权利要求1所述的基于虚拟局域网的数据发送方法,其特征在于,步骤(2)中对该网络数据报文进行安全过滤处理具体为直接丢弃网络数据报文、直接转发网络数据报文、对发送网络数据报文的虚拟局域网进行安全认证、根据网络数据报文类型而进行选择性转发或者对网络数据报文进行统计。
5.根据权利要求1至4中任一项所述的基于虚拟局域网的数据发送方法,其特征在于,所述虚拟局域网的安全等级标识是通过设置的安全系数实现的;所述安全等级标识比较即是安全系数之间的比较。
6.一种基于虚拟局域网的数据发送装置,其特征在于,该装置包括安全等级标识及安全策略配置单元,用于为每个虚拟局域网VLAN配置安全等级标识及相应的安全策略;数据报文发送地判断单元,用于判断待发送的网络数据报文是否在同一个VLAN内传输;安全等级标识查找单元,用于查找网络数据报文的目的地址所在VLAN的安全等级标识;安全等级标识比较单元,用于比较发送网络数据报文的VLAN与网络数据报文目的地址所在的VLAN的安全等级大小;安全过滤单元,调用网络数据报文目的地址所在的VLAN的安全策略,根据该安全策略对网络数据报文进行安全过滤;网络数据报文转发单元,对网络数据报文进行转发;数据存储单元,用于存储VLAN配置的安全等级标识及相应的安全策略;当有网络数据报文需要发送时,数据报文发送地判断单元判断网络数据报文是否在同一VLAN内发送,若是,则由网络数据报文转发单元直接转发;若否,则通过安全等级标识查找单元查找网络数据报文目的地址所在的VLAN的安全等级标识,并由安全等级标识比较单元比较所述需要发送网络数据报文的VLAN与该网络数据报文目的地址所在的VLAN的安全等级标识的大小,若发送网络数据报文的VLAN的安全等级高于或等于网络数据报文目的地址所在的VLAN的安全等级,则由网络数据报文转发单元直接转发;否则由安全过滤单元调用数据存储单元中的网络数据报文目的地址所在的VLAN的安全策略,对所述网络数据报文进行安全过滤处理。
7.根据权利要求6所述的基于虚拟局域网的数据发送装置,其特征在于,所述安全等级标识及安全策略配置单元通过对所述虚拟局域网中的交换机的数据收发接口进行安全等级标识及安全策略设置来实现为每个虚拟局域网VLAN配置安全等级标识及相应的安全策略。
8.根据权利要求6所述的基于虚拟局域网的数据发送装置,其特征在于,所述安全等级标识查找单元查找所述网络数据报文的目的地址所在的VLAN,具体是根据所述网络数据报文的目的地址在路由表中进行查找的,若路由表中不存在该目的地址的路由项,则通知网络数据报文转发单元丢弃所述网络数据报文。
9.根据权利要求6所述的基于虚拟局域网的数据发送装置,其特征在于,所述安全过滤单元对网络数据报文进行安全过滤处理具体为直接丢弃网络数据报文、直接转发网络数据报文、对发送网络数据报文的虚拟局域网进行安全认证、根据网络数据报文类型而进行选择性转发或者对网络数据报文进行统计。
10.根据权利要求6至9中任一项所述的基于虚拟局域网的网络数据安全发送装置,其特征在于,所述虚拟局域网的安全等级标识为安全系数。
全文摘要
本发明公开了基于虚拟局域网的数据发送方法与装置,该方法包括为VLAN设置安全等级标识及安全策略,VLAN端口接收到数据报文,判断是否在同一个虚拟局域网内传输,若是则在同一VLAN内进行转发;否则将目的地址所在VLAN的安全等级标识与发送数据报文的VLAN的安全等级标识进行比较;若发送VLAN安全等级高于或等于目的VLAN的安全等级,则直接转发该数据包;否则调用该目的VLAN的安全策略,对该数据报文进行安全过滤处理。本发明同时公开了实现上述方法的装置。本发明对各VLAN进行级别划分,不同级别VLAN的安全策略不同,实现了VLAN之间数据安全通信,保证了高级别VLAN客户机数据安全性。
文档编号H04L12/28GK1905528SQ20061010415
公开日2007年1月31日 申请日期2006年8月2日 优先权日2006年8月2日
发明者王松波, 李颖和, 施鸿殊 申请人:杭州华为三康技术有限公司