一種vlan中主機(jī)隔離的裝置和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域��,特別是涉及一種VLAN中主機(jī)隔離的裝置和方法�����。
【背景技術(shù)】
[0002]由于現(xiàn)在網(wǎng)絡(luò)環(huán)境日益復(fù)雜化����,信息安全顯得尤為重要。而企業(yè)出于保護(hù)公司機(jī)密的需要�����,也迫切需要在該企業(yè)網(wǎng)絡(luò)內(nèi),客戶端主機(jī)可以與服務(wù)器通訊�,而不能與網(wǎng)絡(luò)內(nèi)的其他客戶端主機(jī)通訊。
[0003]現(xiàn)有技術(shù)中��,要實(shí)現(xiàn)一個企業(yè)網(wǎng)內(nèi)的主機(jī)之間相互不通信����,只能是將各個主機(jī)都分配到不同的VLAN (Virtual Local Area Network,中文為“虛擬局域網(wǎng)”)內(nèi)�����,當(dāng)主機(jī)數(shù)量非常多的時候����,需要分配大量的VLAN,從而導(dǎo)致資源浪費(fèi)�,網(wǎng)絡(luò)管理復(fù)雜。
【發(fā)明內(nèi)容】
[0004]本發(fā)明主要解決的技術(shù)問題是提供一種VLAN中主機(jī)隔離的裝置和方法����,能夠?qū)崿F(xiàn)對部署在同一個VLAN中的指定主機(jī)進(jìn)行通信隔離,從而以更少的管理成本和資源達(dá)到了信息安全的要求����。
[0005]為解決上述技術(shù)問題,本發(fā)明采用的一個技術(shù)方案是:提供一種VLAN中主機(jī)隔離的裝置��,該裝置包括:接收模塊�����,用于接收在VLAN中對指定主機(jī)互相隔離的請求�;配置模塊,用于在所述VLAN中分配主VLAN����、以及和所述主VLAN關(guān)聯(lián)的輔助VLAN,所述輔助VLAN包含隔離VLAN���,所述主VLAN中的主機(jī)允許和任何其他主機(jī)通信�,所述隔離VLAN中的主機(jī)只允許和所述主VLAN中的主機(jī)通信�����;部署模塊�,用于將所述VLAN中的服務(wù)器部署到所述主VLAN中,并將所述指定主機(jī)部署到所述隔離VLAN中���,以便所述指定主機(jī)之間互相隔離��。為解決上述技術(shù)問題�,本發(fā)明采用的一個技術(shù)方案是:提供一種VLAN中主機(jī)隔離的方法,該方法的步驟包括:接收到在VLAN中對指定主機(jī)互相隔離的請求��;在所述VLAN中分配主VLAN�����、以及和所述主VLAN關(guān)聯(lián)的輔助VLAN�,所述輔助VLAN包含隔離VLAN,所述主VLAN中的主機(jī)允許和任何其他主機(jī)通信��,所述隔離VLAN中的主機(jī)只允許和所述主VLAN中的主機(jī)通信�����;將所述VLAN中的服務(wù)器部署到所述主VLAN中�����,并將所述指定主機(jī)部署到所述隔離VLAN中��,以便所述指定主機(jī)之間互相隔離�。
[0006]區(qū)別于現(xiàn)有技術(shù),本發(fā)明的VLAN中主機(jī)隔離的裝置接收在VLAN中對指定主機(jī)互相隔離的請求����,在VLAN中分配主VLAN�、以及和主VLAN關(guān)聯(lián)的輔助VLAN��,將服務(wù)器部署到主VLAN中��,并將要互相隔離的主機(jī)部署到隔離VLAN中����,能夠?qū)崿F(xiàn)在同一個VLAN中對指定主機(jī)進(jìn)行通信隔離�,從而既達(dá)到了信息安全,又減少資源浪費(fèi)����、節(jié)省管理成本。
【附圖說明】
[0007]圖1是本發(fā)明提供的一種裝置的第一實(shí)施方式的結(jié)構(gòu)示意圖����;
[0008]圖2是本發(fā)明提供的一種裝置的第二實(shí)施方式的結(jié)構(gòu)示意圖;
[0009]圖3是本發(fā)明提供的一種方法的第一實(shí)施方式的流程示意圖����。
【具體實(shí)施方式】
[0010]下面結(jié)合【具體實(shí)施方式】對本發(fā)明的技術(shù)方案作進(jìn)一步更詳細(xì)的描述。顯然��,所描述的實(shí)施例僅僅是本發(fā)明的一部分實(shí)施例,而不是全部的實(shí)施例�。基于本發(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動的前提下所獲得的所有其他實(shí)施例��,都應(yīng)屬于本發(fā)明保護(hù)的范圍���。
[0011]參閱圖1���,圖1是本發(fā)明提供的一種VLAN中主機(jī)隔離的裝置的第一實(shí)施方式的結(jié)構(gòu)示意圖。該VLAN中主機(jī)隔離的裝置100包括:接收模塊110�,配置模塊120,部署模塊130�����。
[0012]其中����,接收模塊110,用于接收在VLAN中對指定主機(jī)互相隔離的請求��。該請求可以是網(wǎng)絡(luò)管理員通過對交換機(jī)進(jìn)行實(shí)時配置從而發(fā)送的請求,或者在交換機(jī)上執(zhí)行已有配置文件的指令從而觸發(fā)的請求����。具體的,請求中將攜帶需要互相隔離的主機(jī)的硬件標(biāo)識����,通常為MAC地址�����,采用十六進(jìn)制數(shù)表示�����,共六個字節(jié)(48位)�����,表現(xiàn)為“ 林-**-林-**-林”的形式�,每一個表示一位十六進(jìn)制數(shù),例如需要隔離的主機(jī)標(biāo)識為“44-37-E6-0C-45-DE”和“11-22-E6-0C-45-33����,����,�。
[0013]配置模塊120連接接收模塊110,根據(jù)接收模塊110收到的請求觸發(fā)�����,在該VLAN中分配主VLAN��、以及和所述主VLAN關(guān)聯(lián)的輔助VLAN�,所述輔助VLAN包含隔離VLAN,所述主VLAN中的主機(jī)允許和任何其他主機(jī)通信�,所述隔離VLAN中的主機(jī)只允許和所述主VLAN中的主機(jī)通信。在網(wǎng)絡(luò)系統(tǒng)中�,通過形式為*.*.*”的IP地址來標(biāo)識VLAN,每一個表示一個十進(jìn)制數(shù)(長度為一個8位字節(jié))�,例如“ 10.10.10.0”,所述VLAN和在該VLAN中分配的主VLAN和輔助VLAN具有相同的IP地址和不同的端口���,因此從外部系統(tǒng)看來���,他們屬于相同的VLAN。
[0014]部署模塊130根據(jù)配置模塊120配置的結(jié)果,將VLAN中的服務(wù)器部署到所述主VLAN中�����,并將所述指定主機(jī)部署到所述隔離VLAN中�,以便所述指定主機(jī)之間互相隔離。
[0015]區(qū)別于現(xiàn)有技術(shù)����,本發(fā)明的VLAN中主機(jī)隔離的裝置,根據(jù)在VLAN中對指定主機(jī)互相隔離的請求����,為該VLAN分配主VLAN和輔助VLAN��,輔助VLAN包含隔離VLAN���,其中主VLAN中的主機(jī)允許和任何其他主機(jī)通信���,輔助VLAN中的主機(jī)只允許和主VLAN中的主機(jī)標(biāo)識,并將要互相隔離的主機(jī)部署到隔離VLAN中��,從而實(shí)現(xiàn)了在一個VLAN中就可以對指定主機(jī)互相隔離���,無需將主機(jī)部署到不同的VLAN�����,從而以更少的管理成本和資源實(shí)現(xiàn)了信息安全�。
[0016]參閱圖2,圖2是本發(fā)明提供的一種VLAN中主機(jī)隔離的裝置的第二實(shí)施方式的結(jié)構(gòu)示意圖����。該裝置200包括:接收模塊210,配置模塊220�,部署模塊230。
[0017]其中����,接收模塊210用于接收在VLAN中對指定主機(jī)互相隔離的請求。具體的����,可以是在現(xiàn)有VLAN中已經(jīng)部署了服務(wù)器和主機(jī),網(wǎng)絡(luò)管理員根據(jù)實(shí)際網(wǎng)絡(luò)部署需求要對該VLAN中指定主機(jī)進(jìn)行通信隔離��;也可以是網(wǎng)絡(luò)管理員需要新建一個VLAN�,并在該VLAN中部署服務(wù)器以及相互隔離的主機(jī)。具體的��,該請求可以是網(wǎng)絡(luò)管理員通過對交換機(jī)進(jìn)行實(shí)時配置從而發(fā)送的請求,或者在交換機(jī)上執(zhí)行已有配置文件的指令從而觸發(fā)的請求�����。具體的�,請求中將攜帶需要互相隔離的主機(jī)的硬件標(biāo)識,通常為MAC地址����,例如需要隔離的主機(jī)標(biāo)識為 “44-37-E6-0C-45-DE” 和 “ 11-22-E6-0C-45-33”。
[0018]配置模塊220包含包括配置單元221和記錄單元222���。配置單元221用于根據(jù)接收模塊210接收到的請求觸發(fā)���,將所述VLAN的指定端口分別分配給主VLAN,以及將指定端口分配給與所述主VLAN關(guān)聯(lián)的輔助VLAN中的隔離VLAN����,所述主VLAN中的主機(jī)允許和任何其他主機(jī)通信�,所述隔離VLAN中的主機(jī)只允許和所述主VLAN中的主機(jī)通信。在網(wǎng)絡(luò)系統(tǒng)中����,通過形式為*.*.*,,的IP地址來標(biāo)識VLAN����,例如“10.10.10.0”,并且一個VLAN可以具有多個端口���,通常采用整數(shù)來標(biāo)識端口���,例如1、2��、3…����,例如,將端口 1���、2�、3分配給主VLAN���,將端口 7?20分配給隔離VLAN�����,VLAN和在該VLAN中分配的主VLAN和輔助VLAN具有相同的IP地址和不同的端口����,因此從外部系統(tǒng)看來,他們屬于相同的VLAN��。當(dāng)配置單元221進(jìn)行了所述端口分配操作時�����,記錄單元222將記錄所述端口分配信息��,即每種VLAN包含哪些端口�。具體的,所述端口分配信息可以是記錄在交換機(jī)的寄存器中�。并且,“主VLAN中的主機(jī)允許和任何其他主機(jī)通信�,隔離VLAN中的主機(jī)只允許和所述主VLAN中的主機(jī)通信”該策略信息將保存在VLAN中,具體的�,可以是保存在交換機(jī)的寄存器中。
[0019]部署模塊230根據(jù)配置模塊220配置的結(jié)果�,將VLAN中的服務(wù)器部署到所述主VLAN中�,并將所述指定主機(jī)部署到所述隔離VLAN中,具體的��,部署模塊230記錄配置模塊220為所述主VLAN分配的端口和服務(wù)器的關(guān)聯(lián)關(guān)系,以及記錄配置模塊220為所述隔離VLAN分配的端口和指定主機(jī)的關(guān)聯(lián)關(guān)系���,以便所述指定主機(jī)之間互相隔離����。
[0020]可選的����,在本實(shí)施例的另一個例子中,接收模塊210進(jìn)一步的接收到將至少兩個可以互相通?目的主機(jī)與所述指定主機(jī)隔尚的請求�����,例如���,標(biāo)識為“33-33-33-33-33-33”和“44-44-44-44-44-44”的主機(jī)之間可以互相通信��,但需要和其他主機(jī)之間隔離��。配置模塊220分配的和主VLAN關(guān)聯(lián)的輔助VLAN�����,進(jìn)一步包含團(tuán)體VLAN���,所述團(tuán)體VLAN中的主機(jī)只允許內(nèi)部互相通信以及和所述主VLAN中的主機(jī)通信�;具體的�����,配置單元221將所述VLAN的指定端口分別分配給所述團(tuán)體VLAN ;并且記錄單元222記錄所述端口分配信息���;部署模塊230����,進(jìn)一步的將所述至少兩個互相通信的主機(jī)部署到所述團(tuán)體VLAN�,具體的,部署模塊230進(jìn)一步的記錄為所述團(tuán)體VLAN分配的端口和所述至少兩個互相通信的主機(jī)的關(guān)聯(lián)關(guān)系�。該例子中,實(shí)現(xiàn)了在同一個VLAN中部署與其他主機(jī)隔離但允許內(nèi)部互相通信的多個主機(jī)�。
[0021 ] 區(qū)別于現(xiàn)有技術(shù),本發(fā)明的VLAN中主機(jī)隔離的裝置�,根據(jù)在VLAN中對指定主機(jī)互相隔離的請求,為該VLAN分配主VLAN和輔助VLAN��,輔助VLAN包含隔離VLAN���,其中主VLAN中的主機(jī)允許和任何其他主機(jī)通信��,輔助VLAN中的主機(jī)只允許和主VLAN中的主機(jī)標(biāo)識����,并將要互相隔離的主機(jī)部署到隔離VLAN中�����,從而實(shí)現(xiàn)了在一個VLAN中就可以對指定主機(jī)互相隔離�����,無需將主機(jī)部署到不同的VLAN�,從而以更少的管理成本和資源實(shí)現(xiàn)了信息安全。
[0022]參閱圖3�����,圖3是本發(fā)明提供的一種VLAN中主機(jī)隔離方法的第一實(shí)施方式的流程示意圖�����。該方法的步驟包括:
[0023]S301:接收到在指定VLAN中對指定主機(jī)互相隔離的請求��。
[0024]具體的,可以是在現(xiàn)有VLAN中已經(jīng)部署了服務(wù)器和主