基于隔離ip地址的獨(dú)立鏈路式通信處理方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開(kāi)了一種基于隔離IP地址的獨(dú)立鏈路式通信處理方法���,包括在路由內(nèi)部分配給每一個(gè)用戶設(shè)備不同的IP地址,使所有用戶設(shè)備均在不同的網(wǎng)段上����;以及在路由器與每個(gè)用戶設(shè)備之間的交換機(jī)和/或網(wǎng)橋接口上配置鏈路生成樹(shù)協(xié)議。本發(fā)明徹底阻斷用戶之間的網(wǎng)段內(nèi)通信����,增加安全性;并且利用鏈路生成樹(shù)協(xié)議���,增加量網(wǎng)絡(luò)連接的靈活性�、安全性�,抑制廣播風(fēng)暴增加網(wǎng)絡(luò)穩(wěn)定可靠性。
【專利說(shuō)明】
基于隔離IP地址的獨(dú)立鏈路式通信處理方法和系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明屬于通信技術(shù)領(lǐng)域,涉及信息安全技術(shù)����,具體為一種基于隔離IP地址的獨(dú)立鏈路式通信處理方法,可應(yīng)用于包括免費(fèi)商業(yè)WiFi路由器的網(wǎng)絡(luò)構(gòu)架;本發(fā)明還提高了實(shí)現(xiàn)該處理方法的系統(tǒng)��。
【背景技術(shù)】
[0002]現(xiàn)在的IP安全策略大多采用只開(kāi)放一個(gè)IP地址�����,以阻斷服務(wù)器以外的協(xié)議相應(yīng)����,外部請(qǐng)求的數(shù)據(jù)包雖然也會(huì)到達(dá)服務(wù)器,但是由于數(shù)據(jù)包里的IP地址不符合IP安全策略��,服務(wù)器對(duì)收到的數(shù)據(jù)包將直接進(jìn)行丟棄����。但是這種方法無(wú)法阻止網(wǎng)絡(luò)內(nèi)部的通信監(jiān)聽(tīng),無(wú)法全面的保障用戶的上網(wǎng)安全���。
[0003]而另一種AP隔離(AP Isolat1n)���,指開(kāi)啟后,是各個(gè)連接的電腦之間不能相互訪問(wèn)�����,起到隔離的作用����,來(lái)保護(hù)不用用戶之間的數(shù)據(jù)安全,適合大型的會(huì)議室�����、酒店�����、機(jī)場(chǎng)等公用場(chǎng)所的無(wú)線網(wǎng)絡(luò)建設(shè)?,F(xiàn)在的隔離方式大多采用AP隔離,是由路由器的設(shè)置決定的�����,而這種方式是將接入點(diǎn)進(jìn)行隔離���。路由器只應(yīng)答和路由器有關(guān)的訪問(wèn)����,用戶之間不能進(jìn)行異地訪問(wèn),比如設(shè)備IP地址192.168.1.3的用戶不能訪問(wèn)設(shè)備IP地址192.168.1.5的用戶���,但是兩者都可以和設(shè)備IP地址192.168.1.1的路由器進(jìn)行通信����。該技術(shù)舍得每一個(gè)IP通道都有一個(gè)網(wǎng)絡(luò)�����,都有一個(gè)獨(dú)立的路由����,而所有的信息都要發(fā)給終端設(shè)備,也就是路由器;在終端設(shè)備上�����,依然可以和各個(gè)用戶之間實(shí)現(xiàn)通信����,這就給系統(tǒng)留下了安全隱患,也就是說(shuō)如果站在終端設(shè)備上的話�,又實(shí)現(xiàn)了明文傳輸��,所以需要進(jìn)行鏈路隔離�。
[0004]有鑒于此��,特提出本發(fā)明�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明要解決的技術(shù)問(wèn)題在于克服現(xiàn)有技術(shù)的不足��,提供一種基于隔離IP地址的獨(dú)立鏈路式通信處理方法和系統(tǒng)��,通過(guò)構(gòu)建獨(dú)立鏈路傳輸實(shí)現(xiàn)網(wǎng)絡(luò)通信的安全性�,可靠性����。
[0006]為解決上述技術(shù)問(wèn)題,本發(fā)明采用技術(shù)方案的基本構(gòu)思是:
[0007]—種基于隔離IP地址的獨(dú)立鏈路式通信處理方法�����,包括
[0008]在路由內(nèi)部分配給每一個(gè)用戶設(shè)備不同的IP地址�,使所有用戶設(shè)備均在不同的網(wǎng)段上;以及
[0009]在路由器與每個(gè)用戶設(shè)備之間的交換機(jī)和/或網(wǎng)橋接口上配置鏈路生成樹(shù)協(xié)議�����。
[0010]進(jìn)一步的,上述處理方法中����,所述在路由器與每個(gè)用戶設(shè)備之間的交換機(jī)和/或網(wǎng)橋接口上配置鏈路生成樹(shù)協(xié)議包括:根據(jù)用戶設(shè)備的身份為該用戶設(shè)備生成一個(gè)單獨(dú)的虛擬鏈路,不同的用戶設(shè)備被分別分配到不同的通信接口從而形成獨(dú)立鏈路����。
[0011]進(jìn)一步的,上述處理方法中���,所述鏈路生成樹(shù)協(xié)議的實(shí)現(xiàn)步驟包括:路由器接收用戶設(shè)備通過(guò)交換機(jī)或網(wǎng)橋接口發(fā)送的MAC地址�,并向服務(wù)器發(fā)送包含MAC地址與時(shí)間戳的請(qǐng)求消息���,以使得服務(wù)器接收到所述請(qǐng)求消息后生成密鑰���,并將所述密鑰發(fā)送給路由器;
[0012]所述路由器根據(jù)所述MAC地址和所述密鑰生成鏈路ID�,并將所述鏈路ID發(fā)送給所述服務(wù)器,以使得所述服務(wù)器根據(jù)所述鏈路ID生成獨(dú)立鏈路�����,并將所述獨(dú)立鏈路發(fā)送給所述路由器;
[0013]所述路由器獲取所述服務(wù)器發(fā)送的所述獨(dú)立鏈路����,并通過(guò)所述獨(dú)立鏈路經(jīng)所述交換機(jī)或網(wǎng)橋接口與所述用戶設(shè)備進(jìn)行握手。
[0014]進(jìn)一步的�����,上述處理方法中�,所述路由器獲取所述服務(wù)器發(fā)送的所述獨(dú)立鏈路��,并通過(guò)所述獨(dú)立鏈路與所述用戶設(shè)備進(jìn)行握手之后���,所述方法還包括:
[0015]所述路由器將握手結(jié)果發(fā)送至所述服務(wù)器�。
[0016]進(jìn)一步的���,上述處理方法中��,在一條所述獨(dú)立鏈路中的用戶設(shè)備對(duì)應(yīng)一個(gè)交換機(jī)或網(wǎng)橋接口��,由交換機(jī)或網(wǎng)橋的端口直接控制數(shù)據(jù)的轉(zhuǎn)發(fā)以及鏈路的斷開(kāi)與連接�����,接口接收并發(fā)送BPDU報(bào)文���,進(jìn)行該用戶設(shè)備MAC地址學(xué)習(xí)���。
[0017]進(jìn)一步的,上述處理方法中�,所述路由器和交換機(jī)接口上配置ACL策略。
[0018]進(jìn)一步的����,上述處理方法中,所述路由器獲取所述服務(wù)器發(fā)送的所述獨(dú)立鏈路����,并通過(guò)所述獨(dú)立鏈路經(jīng)所述交換機(jī)或網(wǎng)橋接口與所述用戶設(shè)備進(jìn)行握手后,所述方法還包括
[0019]所述路由器向所述服務(wù)器發(fā)送包含鏈路ID的請(qǐng)求消息��,以使得所述服務(wù)器根據(jù)所述包含鏈路ID的請(qǐng)求消息生成一個(gè)虛擬IP地址����,并通過(guò)所述路由器將所述虛擬IP地址分配給所述用戶設(shè)備且將所述虛擬IP地址映射到所述路由器所在網(wǎng)段內(nèi)的一個(gè)未被分配的IP地址上。
[0020]進(jìn)一步的���,上述處理方法中����,所述未被分配的IP地址為所述路由器所在網(wǎng)段內(nèi)的一個(gè)未被分配的隨機(jī)IP地址。
[0021]本發(fā)明還包括一種實(shí)現(xiàn)上述處理方法的處理系統(tǒng)�����,包括依次通信連接的服務(wù)器��、路由器�、交換機(jī)和/或網(wǎng)橋、以及用戶設(shè)備�。
[0022]采用上述技術(shù)方案后,本發(fā)明與現(xiàn)有技術(shù)相比具有以下有益效果:
[0023]徹底阻隔客戶端之間的網(wǎng)段內(nèi)通信��,來(lái)防止主動(dòng)式的掃描與ARP欺騙監(jiān)聽(tīng)�;
[0024]1>增加了網(wǎng)絡(luò)連接的靈活性
[0025]本發(fā)明能將不同地點(diǎn)����、不同網(wǎng)絡(luò)、不同用戶組合在一起����,形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境,就像使用本地LAN—樣方便���、靈活��、有效����。獨(dú)立鏈路可以降低移動(dòng)或變更工作站地理位置的管理費(fèi)用,特別是一些業(yè)務(wù)情況有經(jīng)常性變動(dòng)的公司使用了獨(dú)立鏈路后���,這部分管理費(fèi)用大大降低����;
[0026]2>控制網(wǎng)絡(luò)上的廣播
[0027]可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的鏈路組��,該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī)��,在一個(gè)鏈路中的廣播不會(huì)送到鏈路之外�。同樣,相鄰的端口不會(huì)收到其他鏈路產(chǎn)生的廣播���。這樣可以減少?gòu)V播流量����,釋放帶寬給用戶應(yīng)用,減少?gòu)V播的產(chǎn)生�;
[0028]3>增加網(wǎng)絡(luò)的安全性
[0029]獨(dú)立鏈路就是一個(gè)單獨(dú)的廣播域,鏈路之間相互隔離�����,這大大提高了網(wǎng)絡(luò)的利用率���,確保了網(wǎng)絡(luò)的安全保密性�����。人們?cè)贚AN上常傳送一些保密的�����、關(guān)鍵性的數(shù)據(jù)��。保密的數(shù)據(jù)應(yīng)提供訪問(wèn)控制等安全手段。本發(fā)明還可以將網(wǎng)絡(luò)分段成幾個(gè)不同的廣播組�����,網(wǎng)絡(luò)管理員限制了 VLAN中用戶的數(shù)量��,禁止未經(jīng)允許而訪問(wèn)鏈路中的應(yīng)用。交換端口可以基于應(yīng)用類型和訪問(wèn)特權(quán)來(lái)進(jìn)行分組��,被限制的應(yīng)用程序和資源一般置于安全性鏈路中����;
[0030]4>抑制廣播風(fēng)暴
[0031]生成樹(shù)協(xié)議可以有效的抑制廣播風(fēng)暴。開(kāi)啟生成樹(shù)協(xié)議后抑制廣播風(fēng)暴��,網(wǎng)絡(luò)將會(huì)更加穩(wěn)定�,可靠性、安全性會(huì)大大增強(qiáng)���。開(kāi)啟廣播風(fēng)暴控制后���,當(dāng)端口收到的廣播幀累計(jì)到預(yù)定門(mén)限值時(shí),端口將自動(dòng)丟棄收到的廣播幀�。當(dāng)未啟用該功能或廣播幀未累計(jì)到門(mén)限時(shí),廣播幀將被正常廣播到交換機(jī)的其它端口����。借助于對(duì)端口的廣播風(fēng)暴控制,可以有效地避免硬件損壞或鏈路故障導(dǎo)致的網(wǎng)絡(luò)癱瘓�����。
【附圖說(shuō)明】
[0032]圖1是本發(fā)明提供的基于隔離IP地址的獨(dú)立鏈路式通信處理方法流程圖;
[0033]圖2是本發(fā)明中鏈路生成樹(shù)協(xié)議的實(shí)施流程圖�;
[0034]圖3是本發(fā)明提供的基于隔離IP地址的獨(dú)立鏈路式通信處理系統(tǒng)結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0035]下面結(jié)合附圖和具體實(shí)施例��,對(duì)本發(fā)明作進(jìn)一步說(shuō)明����,以助于理解本發(fā)明的內(nèi)容。
[0036]本發(fā)明可以用于各種WIFI設(shè)備涉及的網(wǎng)絡(luò)架構(gòu)�����,如常見(jiàn)的免費(fèi)商業(yè)WIFI���,圖3所示為本發(fā)明實(shí)施例涉及的網(wǎng)絡(luò)拓?fù)鋱D���,具體包括依次通信連接的服務(wù)器、路由器��、交換機(jī)和/或網(wǎng)橋接口����、以及用戶設(shè)備�����,該服務(wù)器可以是普通的物理服務(wù)器,但優(yōu)選采用云服務(wù)器���,以實(shí)現(xiàn)快速部署并根據(jù)用戶業(yè)務(wù)規(guī)模進(jìn)行配置;路由器可作為免費(fèi)WIFI熱點(diǎn)���,路由器通過(guò)交換機(jī)和/或網(wǎng)橋供多個(gè)用戶設(shè)備(User Equipment)接入。
[0037]一種在上述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上實(shí)施的基于隔離IP地址的獨(dú)立鏈路式通信處理方法��,如圖1-2所示����,包括:
[0038]S101.在路由內(nèi)部分配給每一個(gè)用戶設(shè)備不同的IP地址,使得所有用戶設(shè)備均在不同的網(wǎng)段上�;以及
[0039]在路由器與每個(gè)用戶設(shè)備之間的交換機(jī)和/或網(wǎng)橋接口上配置鏈路生成樹(shù)協(xié)議。
[0040]1����、具體的,本發(fā)明改變現(xiàn)有技術(shù)中路由器的網(wǎng)段到網(wǎng)段的IP路由方式��,使每個(gè)終端設(shè)備工作在獨(dú)立的單IP地址網(wǎng)段上����;即在路由內(nèi)部分配給所有用戶設(shè)備均不同的IP地址���,使得每一個(gè)用戶設(shè)備工作在不同的網(wǎng)段上,從而他們之間的通信被隔離�����,禁止內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)直接通信�����,所有用戶設(shè)備到用戶設(shè)備通信(比如用戶手機(jī)到筆記本之間的通信)完全交給應(yīng)用層業(yè)務(wù)進(jìn)行路由交換�,徹底阻斷客戶端之間的網(wǎng)段內(nèi)通信,來(lái)防止主動(dòng)式的掃描與ARP(Address Resolut1n Protocol)欺騙監(jiān)聽(tīng)���。
[0041 ] 2�����、鏈路生成樹(shù)協(xié)議生產(chǎn)全集獨(dú)立鏈路:
[0042]當(dāng)終端設(shè)備完成認(rèn)證和訪問(wèn)安全的通信環(huán)境時(shí)���,基本已經(jīng)達(dá)到了標(biāo)準(zhǔn)的業(yè)務(wù)和家庭WiFi熱點(diǎn)的安全性。為了進(jìn)一步加強(qiáng)用戶信息的安全��,本發(fā)明將獨(dú)立生成鏈路協(xié)議���,即所述鏈路生成樹(shù)協(xié)議����。
[0043]在路由器與每個(gè)用戶設(shè)備之間的交換機(jī)和/或網(wǎng)橋接口上配置鏈路生成樹(shù)協(xié)議����。根據(jù)用戶設(shè)備的身份為該用戶設(shè)備生成一個(gè)單獨(dú)的虛擬鏈路,不同的用戶設(shè)備被分配到獨(dú)立的通信接口從而形成獨(dú)立鏈路是在一個(gè)通信接口的不同用戶����。
[0044]具體的,上述鏈路生成樹(shù)協(xié)議實(shí)現(xiàn)步驟包括:
[0045]S102.路由器接收用戶設(shè)備通過(guò)交換機(jī)或網(wǎng)橋接口發(fā)送的MAC地址���,并向服務(wù)器發(fā)送包含MAC地址與時(shí)間戳的請(qǐng)求消息����,以使得服務(wù)器接收到所述請(qǐng)求消息后生成密鑰����,并將所述密鑰發(fā)送給路由器;
[0046]這里生成密鑰的方法可以采用認(rèn)證與密鑰協(xié)商協(xié)議(Authenticat1n and KeyAgreement, AKA)或者其他的密鑰協(xié)商方法和協(xié)議���。
[0047]這里的路由器將帶有MAC地址和時(shí)間戳的請(qǐng)求消息發(fā)送至服務(wù)器端����,使得服務(wù)器根據(jù)用戶設(shè)備的獨(dú)有標(biāo)識(shí)生成密鑰,此外�����,路由器還可以轉(zhuǎn)發(fā)用戶設(shè)備的用戶標(biāo)識(shí)(UserID)�����、設(shè)備標(biāo)識(shí)符(Device ID)和定位符(Locator)等���,以便服務(wù)器獲取更多用戶設(shè)備信息�。上述標(biāo)識(shí)符和定位符也可以包含在路由器發(fā)送的請(qǐng)求消息當(dāng)中�����。
[0048]S103�����,路由器根據(jù)所述MAC地址和所述密鑰生成鏈路ID�,并將所述鏈路ID發(fā)送給所述服務(wù)器,以使得所述服務(wù)器根據(jù)所述鏈路ID生成獨(dú)立鏈路���,并將所述獨(dú)立鏈路發(fā)送給所述路由器�;
[0049]S104,路由器獲取所述服務(wù)器發(fā)送的所述獨(dú)立鏈路�����,并通過(guò)所述獨(dú)立鏈路經(jīng)所述交換機(jī)或網(wǎng)橋接口與所述用戶設(shè)備進(jìn)行握手���。
[0050]綜上,不同用戶設(shè)備在不同網(wǎng)段通過(guò)路由器接入服務(wù)器進(jìn)行認(rèn)證過(guò)程中����,在數(shù)據(jù)鏈路層獲得了唯一的獨(dú)立鏈路ID以及完全獨(dú)立的數(shù)據(jù)鏈路,經(jīng)交換機(jī)或網(wǎng)橋下發(fā)到用戶設(shè)備接入的WIFI熱點(diǎn)(路由器)中���,實(shí)現(xiàn)了各個(gè)用戶設(shè)備與路由器的獨(dú)立連接以及用戶之間的隔離���。
[0051 ] 這里的握手過(guò)程遵循IEEE802.1X協(xié)議。
[0052]本發(fā)明上述方法�,在一條獨(dú)立鏈路中,每個(gè)用戶設(shè)備對(duì)應(yīng)一個(gè)交換機(jī)或網(wǎng)橋接口���,可以由交換機(jī)或網(wǎng)橋的接口直接控制數(shù)據(jù)的轉(zhuǎn)發(fā)和鏈路的斷開(kāi)和連接��,接口接收并發(fā)送BPDU報(bào)文���,進(jìn)行MAC地址學(xué)習(xí)���,以到達(dá)既可以快速收斂,也能使不同VLAN的流量沿各自的路徑轉(zhuǎn)發(fā)���,從而為冗余鏈路提供了更好的負(fù)載分擔(dān)機(jī)制�����。
[0053]本發(fā)明是將傳統(tǒng)的Hub廣播轉(zhuǎn)變成類似物理層的VLAN式傳播�,形成的鏈路是在IP層以下���,在物理層和數(shù)據(jù)鏈路層以上�����,在“VLAN”上只能聽(tīng)到此條鏈路上的信息��,而不能聽(tīng)到其他線路的信息�����。鏈路與鏈路之間的通信要進(jìn)行加密���,進(jìn)行授權(quán)����。
[0054]3�����、并且�����,所述路由器和交換機(jī)接口上配置ACL策略��。具體的�,在數(shù)據(jù)包傳送過(guò)程中��,路由器和交換機(jī)接口上執(zhí)行ACL(即訪問(wèn)控制列表��,Access Control List���,ACL)策略��,每個(gè)接口上配置的ACL策略可以根據(jù)實(shí)際需要編寫(xiě)��,這是本領(lǐng)域成熟技術(shù)��,此處不做多余贅述����;一個(gè)接口執(zhí)行哪條ACL根據(jù)其列表中的條件語(yǔ)句進(jìn)行判斷;如果該接口收到的數(shù)據(jù)包的報(bào)頭跟列表中的某個(gè)條件判斷語(yǔ)句相匹配��,那么列表中后面的語(yǔ)句將被忽略��,不再進(jìn)行檢查��。
[0055]上述數(shù)據(jù)包只有在跟第一個(gè)判斷條件不匹配時(shí)�����,它才被交給ACL中的下一個(gè)條件判斷語(yǔ)句進(jìn)行比較�����,如果匹配(假設(shè)為允許發(fā)送)�,則不管是第一條還是最后一條語(yǔ)句��,數(shù)據(jù)包都會(huì)立即發(fā)送到目的端口�����。如果所有的ACL判斷語(yǔ)句都檢測(cè)完畢����,仍沒(méi)有匹配的語(yǔ)句出現(xiàn)���,則該數(shù)據(jù)包將視為被拒絕而被丟棄�����。其中ACL不能對(duì)本路由器產(chǎn)生的數(shù)據(jù)包進(jìn)行控制。
[0056]如果接口設(shè)備使用了TCAM( ternary content addressable memory)��,例如auteU3052交換機(jī)��,那么接口上的所有ACL都是并行執(zhí)行的����;也就是說(shuō),如果一個(gè)接口設(shè)定了多條ACL策略語(yǔ)句�,數(shù)據(jù)包并不是逐條匹配��,而是一次執(zhí)行所有語(yǔ)句����。
[0057]基于此���,在不同用戶設(shè)備之間由于均屬于不同的網(wǎng)段內(nèi)��,故用戶設(shè)備之間的通信就被隔離了��,保證內(nèi)網(wǎng)的安全性��,保障非授權(quán)用戶設(shè)備只能訪問(wèn)特定的網(wǎng)絡(luò)資源�,從而達(dá)到對(duì)訪問(wèn)進(jìn)行控制的目的����。
[0058]本發(fā)明能夠達(dá)到:徹底阻隔客戶端之間的網(wǎng)段內(nèi)通信,來(lái)防止主動(dòng)式的掃描與ARP欺騙監(jiān)聽(tīng)���。
[0059]1>增加了網(wǎng)絡(luò)連接的靈活性
[0060]本發(fā)明能將不同地點(diǎn)����、不同網(wǎng)絡(luò)�����、不同用戶組合在一起,形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境����,就像使用本地LAN—樣方便、靈活����、有效。獨(dú)立鏈路可以降低移動(dòng)或變更工作站地理位置的管理費(fèi)用����,特別是一些業(yè)務(wù)情況有經(jīng)常性變動(dòng)的公司使用了獨(dú)立鏈路后,這部分管理費(fèi)用大大降低��。
[0061 ] 2>控制網(wǎng)絡(luò)上的廣播
[0062]可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的鏈路組�����,該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī)��,在一個(gè)鏈路中的廣播不會(huì)送到鏈路之外�����。同樣��,相鄰的端口不會(huì)收到其他鏈路產(chǎn)生的廣播���。這樣可以減少?gòu)V播流量�,釋放帶寬給用戶應(yīng)用�,減少?gòu)V播的產(chǎn)生。
[0063]3>增加網(wǎng)絡(luò)的安全性
[0064]獨(dú)立鏈路就是一個(gè)單獨(dú)的廣播域�����,鏈路之間相互隔離����,這大大提高了網(wǎng)絡(luò)的利用率,確保了網(wǎng)絡(luò)的安全保密性��。人們?cè)贚AN上常傳送一些保密的��、關(guān)鍵性的數(shù)據(jù)��。保密的數(shù)據(jù)應(yīng)提供訪問(wèn)控制等安全手段��。本發(fā)明還可以將網(wǎng)絡(luò)分段成幾個(gè)不同的廣播組�����,網(wǎng)絡(luò)管理員限制了 VLAN中用戶的數(shù)量,禁止未經(jīng)允許而訪問(wèn)鏈路中的應(yīng)用�。交換端口可以基于應(yīng)用類型和訪問(wèn)特權(quán)來(lái)進(jìn)行分組,被限制的應(yīng)用程序和資源一般置于安全性鏈路中���。
[0065]4>抑制廣播風(fēng)暴
[0066]生成樹(shù)協(xié)議可以有效的抑制廣播風(fēng)暴�����。開(kāi)啟生成樹(shù)協(xié)議后抑制廣播風(fēng)暴�����,網(wǎng)絡(luò)將會(huì)更加穩(wěn)定�,可靠性����、安全性會(huì)大大增強(qiáng)。開(kāi)啟廣播風(fēng)暴控制后���,當(dāng)端口收到的廣播幀累計(jì)到預(yù)定門(mén)限值時(shí)���,端口將自動(dòng)丟棄收到的廣播幀。當(dāng)未啟用該功能或廣播幀未累計(jì)到門(mén)限時(shí)��,廣播幀將被正常廣播到交換機(jī)的其它端口����。借助于對(duì)端口的廣播風(fēng)暴控制,可以有效地避免硬件損壞或鏈路故障導(dǎo)致的網(wǎng)絡(luò)癱瘓���。
[0067]本發(fā)明上述方法基于每個(gè)用戶設(shè)備網(wǎng)卡對(duì)應(yīng)唯一的上述MAC地址和鏈路的MAC地址跟蹤�,這種獨(dú)立鏈路允許網(wǎng)絡(luò)中的用戶設(shè)從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)��,自動(dòng)保留了鏈路的成員�,讓免費(fèi)WiFi熱點(diǎn)集線器無(wú)線中繼站通信模式,切換轉(zhuǎn)發(fā)的點(diǎn)對(duì)點(diǎn)連接的獨(dú)立交換機(jī)交換�����,進(jìn)一步提高用戶信息的隱私性和安全性��。
[0068]S105����,路由器將握手結(jié)果發(fā)送至所述服務(wù)器。
[0069]S106,路由器向所述服務(wù)器發(fā)送包含鏈路ID的請(qǐng)求消息(如DHCP請(qǐng)求)���,以使得所述服務(wù)器根據(jù)所述包含鏈路ID的請(qǐng)求消息生成一個(gè)虛擬IP地址����,并通過(guò)所述路由器將所述虛擬IP地址分配給所述用戶設(shè)備且將所述虛擬IP地址映射到所述路由器所在網(wǎng)段內(nèi)的一個(gè)未被分配的IP地址上���。分配IP地址的規(guī)則和策略包括多種�����,本實(shí)施例中是將IP地址映射到所述路由器所在網(wǎng)段內(nèi)的一個(gè)未被分配的隨機(jī)IP地址上��。
[0070]除了通過(guò)步驟S103為用戶設(shè)備與路由器在鏈路層建立獨(dú)立鏈路外����,在網(wǎng)絡(luò)層�,月艮務(wù)器還為用戶設(shè)備提供一個(gè)虛擬的IP地址,對(duì)用戶信息進(jìn)行進(jìn)一步隱藏�。例如,通過(guò)虛擬IP地址的分配和映射��,在路由器看來(lái)該用戶設(shè)備的IP地址是192.168.1.5時(shí)���,在用戶看來(lái)用戶設(shè)備的地址可以是10.10.10.10�。
[0071]本實(shí)施例提供的網(wǎng)絡(luò)信息保護(hù)方法,根據(jù)用戶設(shè)備的MAC地址和時(shí)間戳在鏈路層為用戶設(shè)備與路由器建立的獨(dú)立鏈路�����,并在網(wǎng)絡(luò)為用戶設(shè)備分配虛擬IP���,實(shí)現(xiàn)了用戶設(shè)備之間的通信隔離,保證所有業(yè)務(wù)交互通過(guò)路由器中的防火墻過(guò)濾����,保護(hù)了信息安全和隱私,降低了用戶設(shè)備����、路由器被惡意攻擊的可能性。
[0072]以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�����,應(yīng)當(dāng)指出�,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明原理的前提下����,還可以做出若干改進(jìn)和潤(rùn)飾����,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍��。
【主權(quán)項(xiàng)】
1.一種基于隔離IP地址的獨(dú)立鏈路式通信處理方法����,其特征在于:包括 在路由內(nèi)部分配給每一個(gè)用戶設(shè)備不同的IP地址,使所有用戶設(shè)備均在不同的網(wǎng)段上����;以及 在路由器與每個(gè)用戶設(shè)備之間的交換機(jī)和/或網(wǎng)橋接口上配置鏈路生成樹(shù)協(xié)議。2.根據(jù)權(quán)利要求1所述的基于隔離IP地址的獨(dú)立鏈路式通信處理方法�,其特征在于:所述在路由器與每個(gè)用戶設(shè)備之間的交換機(jī)和/或網(wǎng)橋接口上配置鏈路生成樹(shù)協(xié)議包括:根據(jù)用戶設(shè)備的身份為該用戶設(shè)備生成一個(gè)單獨(dú)的虛擬鏈路,不同的用戶設(shè)備被分別分配到不同的通信接口從而形成獨(dú)立鏈路��。3.根據(jù)權(quán)利要求2所述的基于隔離IP地址的獨(dú)立鏈路式通信處理方法�,其特征在于:所述鏈路生成樹(shù)協(xié)議的實(shí)現(xiàn)步驟包括:路由器接收用戶設(shè)備通過(guò)交換機(jī)或網(wǎng)橋接口發(fā)送的MAC地址,并向服務(wù)器發(fā)送包含MAC地址與時(shí)間戳的請(qǐng)求消息�,以使得服務(wù)器接收到所述請(qǐng)求消息后生成密鑰,并將所述密鑰發(fā)送給路由器��; 所述路由器根據(jù)所述MAC地址和所述密鑰生成鏈路ID���,并將所述鏈路ID發(fā)送給所述服務(wù)器���,以使得所述服務(wù)器根據(jù)所述鏈路ID生成獨(dú)立鏈路�,并將所述獨(dú)立鏈路發(fā)送給所述路由器�; 所述路由器獲取所述服務(wù)器發(fā)送的所述獨(dú)立鏈路,并通過(guò)所述獨(dú)立鏈路經(jīng)所述交換機(jī)或網(wǎng)橋接口與所述用戶設(shè)備進(jìn)行握手���。4.根據(jù)權(quán)利要求3所述的基于隔離IP地址的獨(dú)立鏈路式通信處理方法,其特征在于:所述路由器獲取所述服務(wù)器發(fā)送的所述獨(dú)立鏈路���,并通過(guò)所述獨(dú)立鏈路與所述用戶設(shè)備進(jìn)行握手之后�,所述方法還包括: 所述路由器將握手結(jié)果發(fā)送至所述服務(wù)器�����。5.根據(jù)權(quán)利要求2-3任一項(xiàng)所述的基于隔離IP地址的獨(dú)立鏈路式通信處理方法�����,其特征在于:在一條所述獨(dú)立鏈路中的用戶設(shè)備對(duì)應(yīng)一個(gè)交換機(jī)或網(wǎng)橋接口�����,由交換機(jī)或網(wǎng)橋的端口直接控制數(shù)據(jù)的轉(zhuǎn)發(fā)以及鏈路的斷開(kāi)與連接,接口接收并發(fā)送BPDU報(bào)文�����,進(jìn)行該用戶設(shè)備MAC地址學(xué)習(xí)��。6.根據(jù)權(quán)利要求2-3任一項(xiàng)所述的基于隔離IP地址的獨(dú)立鏈路式通信處理方法�����,其特征在于:所述路由器和交換機(jī)接口上配置ACL策略����。7.根據(jù)權(quán)利要求4所述的基于隔離IP地址的獨(dú)立鏈路式通信處理方法,其特征在于: 所述路由器獲取所述服務(wù)器發(fā)送的所述獨(dú)立鏈路����,并通過(guò)所述獨(dú)立鏈路經(jīng)所述交換機(jī)或網(wǎng)橋接口與所述用戶設(shè)備進(jìn)行握手后,所述方法還包括 所述路由器向所述服務(wù)器發(fā)送包含鏈路ID的請(qǐng)求消息�,以使得所述服務(wù)器根據(jù)所述包含鏈路ID的請(qǐng)求消息生成一個(gè)虛擬IP地址,并通過(guò)所述路由器將所述虛擬IP地址分配給所述用戶設(shè)備且將所述虛擬IP地址映射到所述路由器所在網(wǎng)段內(nèi)的一個(gè)未被分配的IP地址上���。8.根據(jù)權(quán)利要求7所述的基于隔離IP地址的獨(dú)立鏈路式通信處理方法�����,其特征在于:所述未被分配的IP地址為所述路由器所在網(wǎng)段內(nèi)的一個(gè)未被分配的隨機(jī)IP地址����。9.一種實(shí)現(xiàn)權(quán)利要求1-8所述的處理方法的處理系統(tǒng),包括依次通信連接的服務(wù)器��、路由器����、交換機(jī)和/或網(wǎng)橋、以及用戶設(shè)備���。
【文檔編號(hào)】H04L29/12GK106027491SQ201610284558
【公開(kāi)日】2016年10月12日
【申請(qǐng)日】2016年4月29日
【發(fā)明人】梁肇亮, 張壽權(quán), 王洋, 楊勇健
【申請(qǐng)人】天津贊普科技股份有限公司