1.一種基于VLAN構(gòu)造的訪問(wèn)控制方法，應(yīng)用于總體系統(tǒng)，其特征在于：所述總體系統(tǒng)包括安全區(qū)管理單元、系統(tǒng)管理單元、隔離組管理單元、訪問(wèn)管理單元、端口IP綁定單元；所述安全區(qū)管理單元用于根據(jù)地理位置或?qū)嶋H區(qū)域，劃分安全區(qū)，將所述交換機(jī)設(shè)備分配至指定安全區(qū)；所述系統(tǒng)管理單元用于根據(jù)實(shí)際部門(mén)分配，創(chuàng)建對(duì)應(yīng)的系統(tǒng)；所述隔離組管理單元用于根據(jù)安全區(qū)和系統(tǒng)的對(duì)應(yīng)關(guān)系，管理和分配隔離組，使得同一個(gè)隔離組的成員可以互相訪問(wèn)，不同隔離組之間的成員不能訪問(wèn)，完成訪問(wèn)隔離；所述訪問(wèn)管理單元用于根據(jù)配置的隔離組，設(shè)置跨隔離組訪問(wèn)的端口成員，完成訪問(wèn)控制；所述端口IP綁定單元用于配置隔離組成員的端口IP綁定，僅允許綁定的IP進(jìn)行通信，其他的IP無(wú)法通信；所述方法包括以下步驟：

S1.進(jìn)行安全區(qū)劃分，將整體網(wǎng)絡(luò)分為若干安全區(qū)，同時(shí)為安全區(qū)分配交換機(jī)設(shè)備；

S2.在所述交換機(jī)設(shè)備上，建立物理端口或VLAN的邏輯接口的過(guò)濾條件；

S3.改變所述交換機(jī)設(shè)備接入端口的VLAN的TAG屬性和PVID分配的邏輯拓?fù)浣Y(jié)構(gòu)，對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)邏輯拓?fù)溥M(jìn)行整體規(guī)劃，具體為：將各安全區(qū)、業(yè)務(wù)、系統(tǒng)等按訪問(wèn)控制的不同訪問(wèn)功能和屬性，劃分成多個(gè)用于訪問(wèn)控制的VLAN，使安全區(qū)、業(yè)務(wù)、系統(tǒng)內(nèi)所有VLAN間能夠互訪，安全區(qū)中每個(gè)VLAN與其它安全區(qū)中對(duì)應(yīng)的VLAN按訪問(wèn)控制要求形成新的可互訪VLAN組，即訪問(wèn)控制VLAN組；

S4.進(jìn)行系統(tǒng)設(shè)定，劃分若干系統(tǒng)；

S5.按系統(tǒng)和安全區(qū)建立隔離組，同組內(nèi)成員能夠給互相訪問(wèn)，不同組成員不能夠互相訪問(wèn)，具體的，還包括比較各網(wǎng)絡(luò)交換機(jī)端口加入用戶(hù)組和控制組的數(shù)量，若數(shù)量一樣，檢查其加入的用戶(hù)組和訪問(wèn)控制組是否相同，若相同，為該端口分配同樣的VLANID，若不相同，為每個(gè)網(wǎng)絡(luò)通訊端口分配合適的VLANID，并計(jì)算出該端口允許通訊的VLAN；

S6.建立跨系統(tǒng)、安全區(qū)的訪問(wèn)控制組，下發(fā)VLAN配置和允許的VLAN，形成用戶(hù)所需要的VLAN隔離保護(hù)和訪問(wèn)控制邏輯拓?fù)浣Y(jié)構(gòu)，其本身的VLAN和其可以訪問(wèn)的VLAN，使不同隔離組的成員之間能夠互相訪問(wèn)；

S7.對(duì)每臺(tái)所述交換機(jī)設(shè)備的訪問(wèn)組端口進(jìn)行IP綁定。