本發明公開了一種基于VLAN構造的訪問控制方法，包括以下步驟：S1.進行安全區劃分，將整體網絡分為若干安全區，同時為安全區分配交換機設備；S2.在一個交換機設備上，建立物理端口或VLAN的邏輯接口的過濾條件；S3.改變交換機接入端口的VLAN本身的TAG屬性和PVID分配等邏輯拓撲結構；S4.進行系統設定，劃分若干系統。本發明的方法僅僅改變交換機接入端口的VLAN本身的TAG屬性和PVID分配等邏輯拓撲結構，實現了等效的訪問控制要求，數據包不需要繞行特定的過濾接口，允許互訪的端口能夠直接互訪，不受中間冗余鏈路切換、通訊設備冗余切換的影響，減少了對網絡帶寬資源的占用和網絡成本。

技術領域

本發明屬于網絡安全防護技術領域，具體涉及一種基于VLAN構造的訪問控制方法。

背景技術

傳統網絡中，VLAN、VxLAN、基本上用作為按租客、安全區、組織單元、業務、系統進行隔離保護，當隔離的保護區之間需要訪問控制時，由于用戶已經采用VLAN來隔離保護，往往需要通過三層路由等技術接通網絡，然后再采用ACL(訪問控制列表)來阻斷隔離保護區之間不必要的通訊。

ACL訪問控制技術是一種交換機、路由器、內網防火墻都采用的進出規則命令訪問控制技術。即通過標準或擴展的ACL命令，在通訊設備端口阻斷不允許的通訊，其判斷依據主要是是源IP、目標IP、源Mac、目標Mac、TCP/UDP/ICMP(傳輸和控制協議)五元素檢測。其中阻斷某種傳輸和控制協議來防護的應用較少。因此實際上主要采用的是源和目標作為訪問控制的判斷依據，即指定和限制跨安全區訪問對象。

現有技術缺陷和不足：當使用ACL訪問控制時，目前無法解決的技術問題：

1)網絡物理拓撲架構中，一般分為接入層、匯聚層、核心路由層。經常可能需要使用單臂路由來對各隔離VLAN進行訪問控制，此時，由于源地址和目標地址在檢測口的同一側。ACL無法處理。

2)大量使用網絡路由或生成樹等技術，網絡成網格化狀態。ACL命令針對于某個通訊端口編寫的。數據通路有時非常不可思議。需檢測和阻斷所有數據流可能的多條通路和方向。選擇防御物理位置變得困難。特別是跨多個物理安全區的訪問控制。而采用ACL在每個網絡交通要道上針對多種業務、系統進行檢測阻斷。似乎難以實現。

3)對于實時性要求搞得數據，ACL命令條數太多時，檢測有一定的延時會影響通訊，而且，一般交換機和路由器為了保證數據傳輸時延，限制ACL命令條數。

4)惡意程序和不法人員可以通過更改IP或采用網內可以規避檢測的IP突破訪問控制的限定。

綜上所述，我們提出一種基于VLAN構造的訪問控制方法。

發明內容

本發明的目的在于提供一種基于VLAN構造的訪問控制方法，以解決上述背景技術中提出的問題。

為實現上述目的，本發明提供如下技術方案：一種基于VLAN構造的訪問控制方法，包括以下步驟：

S1.進行安全區劃分，將整體網絡分為若干安全區，同時為安全區分配交換機設備；

S2.在一個交換機設備上，建立物理端口或VLAN的邏輯接口的過濾條件；

S3.改變交換機接入端口的VLAN本身的TAG屬性和PVID分配等邏輯拓撲結構；

S4.進行系統設定，劃分若干系統；

S5.按系統和安全區建立隔離組，同組內成員能夠給互相訪問，不同組成員不能夠互相訪問；

S6.建立跨系統、安全區的訪問控制組，使不同隔離組的成員之間能夠互相訪問；

S7.對每臺交換機設備的訪問組端口進行IP綁定。