專利名稱:用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及虛擬局域網(wǎng)(VLAN)的信息傳輸���,確切地說是控制信息單向傳輸?shù)南到y(tǒng)��。非常適用于技術(shù)開發(fā)中心����、研究機(jī)構(gòu)、需要嚴(yán)格對(duì)外保密的單位�����。
防火墻是通過設(shè)置網(wǎng)絡(luò)的應(yīng)用軟件或者硬件���,避免有害及不安全訪問所采取的通常方式。簡(jiǎn)單地說�����,防火墻將所有經(jīng)過它的信息進(jìn)行檢查����,防火墻可以決定哪些內(nèi)部服務(wù)可以外界訪問,外界的哪些人可以訪問內(nèi)部的哪些服務(wù)等���,防火墻只允許授權(quán)的數(shù)據(jù)通過�,并配合安全策略使用�����,如果沒有全面的安全策略,防火墻僅限于病毒防護(hù)措施就形同虛設(shè)����。新的形式高級(jí)比較隱秘的病毒難以防備,而且防火墻并不是萬能的�,很多計(jì)算機(jī)水平相當(dāng)高的操作者(例如黑客或者攻擊者)可以通過多種渠道有效地避開防火墻,或者是能夠欺騙防火墻��,從而順利進(jìn)入到計(jì)算機(jī)系統(tǒng)中�����,同時(shí)��,還存在非法使用者�、過失者的問題,造成信息資源�、數(shù)據(jù)流失,甚至被破壞�����。
所以�,對(duì)于每個(gè)用戶之間信息的保密,在微軟公司推出的Windows 2000產(chǎn)品中��,可以通過設(shè)置用戶的權(quán)限的安全策略來進(jìn)行控制,來阻隔外部的非法進(jìn)入����,其做法是局域網(wǎng)內(nèi)部相互之間通過設(shè)置用戶的權(quán)限,實(shí)現(xiàn)部分的溝通�,這種控制是在客戶端進(jìn)行設(shè)置,且它是單純從控制軟件做阻斷�����,不能防止水平很高的黑客或者入侵者進(jìn)入�,而且其安全密碼可以通過告知等方式泄漏���,或者使用默認(rèn)設(shè)置讓他人獲得不應(yīng)有的權(quán)限�,還是可以進(jìn)行非法的不允許的交流���,無法完全避免用戶信息的流失���,保密性仍然有很大的漏洞,無法滿足例如研究所��、開發(fā)中心等對(duì)保密要求嚴(yán)格的單位的安全需求���,因?yàn)樯鲜龅膯挝煌ǔ5囊笫情_發(fā)工程師除經(jīng)過許可外�,不允許進(jìn)行橫向交流,尤其是不同課題組之間的技術(shù)交流���,但是其能與上級(jí)主管進(jìn)行交流�����。
為此��,一種新的局域網(wǎng)技術(shù)--虛擬局域網(wǎng)(VLAN)可以部分地解決上述問題����。局域網(wǎng)中�����,網(wǎng)絡(luò)資源是大家共享的�����,對(duì)外的連接�����,依靠路由器。而且路由器處于非常重要的地位�����,通過路由器����,實(shí)現(xiàn)各種方式的對(duì)外聯(lián)絡(luò)及信息傳遞?�;谏鲜龅乃悸?,一種虛擬局域網(wǎng)技術(shù)(VLAN Virtual Local Area Network)應(yīng)運(yùn)而生����。其目的是將一個(gè)大的局域網(wǎng)劃分為若干小的虛擬子網(wǎng),使每一個(gè)子網(wǎng)都成為一個(gè)單獨(dú)的廣播域�����,子網(wǎng)之間的通訊必須通過路由設(shè)備����,這樣VLAN在交換機(jī)上劃分后,不同VLAN之間的設(shè)備如同被物理地分割了,可以不考慮用戶的地理位置�����,根據(jù)功能�、應(yīng)用等因素將用戶從邏輯上劃分為一個(gè)個(gè)功能相對(duì)獨(dú)立的網(wǎng)絡(luò),每個(gè)用戶主機(jī)都連接在一個(gè)支持VLAN的交換機(jī)上�����,并屬于一個(gè)VLAN���,同一個(gè)VLAN中的成員都共享廣播����,形成一個(gè)廣播域��,而不同的VLAN之間廣播信息是相互隔離的��。同時(shí)��,對(duì)于不同的VLAN之間�,信息是處于保密狀態(tài)的。因此�����,可以利用不同VLAN的劃分來達(dá)到禁止橫向交流的問題��。
但是對(duì)于研究所或者開發(fā)中心以及其它需要嚴(yán)格保密的單位來說��,其局域網(wǎng)的設(shè)置通常是獨(dú)立的����,通過路由器與外界連接,路由器的設(shè)置為安全的保障留下了隱患��,其原因還是類似與上述的情況����,入侵者可以通過路由器非法進(jìn)入到各個(gè)VLAN中,盜竊數(shù)據(jù)以及技術(shù)資料�,甚至破壞數(shù)據(jù)和技術(shù)資料���。而沒有路由器的VLAN通常被認(rèn)為是不能實(shí)現(xiàn)的���,甚至是被禁止的。
因此���,提供一套行之有效的解決方案���,對(duì)于解決上述單位的安全問題是相當(dāng)重要的����。
發(fā)明內(nèi)容
上述問題���,尤其是關(guān)于VLAN設(shè)置的方面是將VLAN處于整個(gè)網(wǎng)絡(luò)連接中來實(shí)現(xiàn)的�����,并帶來相應(yīng)的缺點(diǎn),對(duì)于單純的研究機(jī)構(gòu)或者開發(fā)中心或者需要嚴(yán)格對(duì)外保密的單位����,其重點(diǎn)關(guān)注的是安全、保密的可靠性����,其問題是局部、微觀的����,如果能夠從局部出發(fā),拋開必須與網(wǎng)絡(luò)連接的觀念以及路由的思路���,可以通過VLAN很好地解決安全問題。
為了便于說明網(wǎng)絡(luò)的連結(jié)關(guān)系��,將VLAN按照其應(yīng)用及級(jí)別分為管理者與被管理者�,管理者可以按照其應(yīng)用范圍和權(quán)限根據(jù)實(shí)際情況分為A����、B�、C、D等級(jí)別����,以確認(rèn)其權(quán)限和優(yōu)先級(jí)別�����。最小的VLAN單位為被管理者�,一般情況下�����,為了管理方便,每個(gè)VLAN為被管理者���。其直接上級(jí)的管理者為D級(jí)管理者����,D級(jí)的上級(jí)管理者為C級(jí)管理者��,可以根據(jù)情況依此類推��,但是對(duì)于VLAN的設(shè)置��,并不要求包括所有的管理級(jí)別�。上述的情況只是一種對(duì)于可能發(fā)生情形的描述。
基于上述分析�,本發(fā)明的目的是提出行之有效的解決方案,利用現(xiàn)有的虛擬局域網(wǎng)(VLAN)方案����,取消路由器的使用��,避免入侵者通過路由進(jìn)行入侵或者破壞�,使得達(dá)到安全可靠地保密要求����。
同時(shí)�����,本發(fā)明的另一個(gè)目的是提供一種用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng)�,該系統(tǒng)可以避免每個(gè)最小開發(fā)單位之間的橫向交流,使之只能與上級(jí)的管理者進(jìn)行單向的交流�。
本發(fā)明的另一個(gè)目的是使得上級(jí)的管理者可以閱讀任意一個(gè)下級(jí)計(jì)算機(jī)的文件夾,且同級(jí)管理者或者被管理者之間不能進(jìn)行交流��。
本發(fā)明是這樣實(shí)現(xiàn)的根據(jù)研究所或者開發(fā)中心的實(shí)際情況�,用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng),其可以包含多個(gè)VLAN����,VLAN由服務(wù)器、交換機(jī)和多臺(tái)計(jì)算機(jī)構(gòu)成�����,VLAN的設(shè)置通常采用30個(gè)以上的VLAN���,每個(gè)VLAN之間以IP地址����、MAC地址和交換機(jī)端口捆綁式結(jié)合來劃分�,以確定其權(quán)限和交流方向。
具體的方式是每個(gè)最小應(yīng)用單位享有一個(gè)VLAN����,并按照IP地址被劃分為一個(gè)獨(dú)立的網(wǎng)段,其上級(jí)管理者采用IP地址自動(dòng)識(shí)別的方式����,共享其下級(jí)被管理者的VLAN,且使用自動(dòng)設(shè)置來分配IP地址�,上述的IP地址結(jié)合交換機(jī)的端口劃分,使之連接固定�,只能進(jìn)行單向的信息交流,使得管理者只能與其下級(jí)進(jìn)行交流��,而管理者或者被管理者不能橫向與同級(jí)管理者或者被管理者之間進(jìn)行交流�����,同樣�,被管理者與非上級(jí)的管理者之間的交流也是禁止的。
所謂的最小應(yīng)用單位�,是指對(duì)相同產(chǎn)品進(jìn)行相同設(shè)計(jì)���、開發(fā)或者管理的計(jì)算機(jī)單位,它可以是一臺(tái)PC機(jī)���,也可以是多臺(tái)PC機(jī)的組合����,它們具有同樣的功能和用途限定���,具有同等的使用權(quán)限�����。
實(shí)際應(yīng)用中�����,對(duì)于每個(gè)實(shí)際的開發(fā)者��、設(shè)計(jì)者或者管理者��,其工作內(nèi)容都不是完全重復(fù)的����,最好將每臺(tái)PC機(jī)設(shè)計(jì)成一個(gè)VLAN,總體上具有類似功能或者應(yīng)用的PC機(jī)設(shè)置有具有管理功能的工作站���,該工作站享有公共端口,能與上述的每個(gè)VLAN進(jìn)行交流��,但是每個(gè)VLAN之間是不能進(jìn)行橫向交流的�。
所述的VLAN同時(shí)還可以通過MAC地址劃分。由于MAC地址是全球唯一的�,由它可以固定每臺(tái)計(jì)算機(jī)以及VLAN的權(quán)限和應(yīng)用。
MAC地址的增設(shè)�����,是根據(jù)每臺(tái)計(jì)算機(jī)網(wǎng)卡的硬件地址���,以及其所連接的端口��,在交換機(jī)上增加其MAC地址��,并指定其所屬的VLAN����,確定所述的端口的安全狀態(tài)為靜態(tài)的即可。
上述的具體的方案是每臺(tái)計(jì)算機(jī)作為一個(gè)VLAN�����,從服務(wù)器和PC工作站上對(duì)其進(jìn)行IP地址設(shè)置�,管理者的IP地址段使用自動(dòng)設(shè)置,被管理的計(jì)算機(jī)按照IP地址段劃分�;不同級(jí)別的計(jì)算機(jī)按照不同的IP地址段劃分,并結(jié)合MAC地址�,直接從服務(wù)器和交換機(jī)上對(duì)其進(jìn)行設(shè)置。
所述的IP地址的劃分����,從網(wǎng)段1開始,各網(wǎng)段的前2個(gè)IP地址均留給服務(wù)器��,其它的IP地址分配給個(gè)被管理者�。IP地址的分配最好按照地址段指定的方式,給每個(gè)計(jì)算機(jī)指定IP地址��,對(duì)于預(yù)留的兩個(gè)IP地址�,其中一個(gè)是預(yù)留給管理者,一個(gè)留給服務(wù)器使用����。
上述的IP地址的劃分���,對(duì)于管理者,其計(jì)算機(jī)網(wǎng)卡上設(shè)置VLAN���,不設(shè)置IP地址����,且每個(gè)管理者的計(jì)算機(jī)與其管理的計(jì)算機(jī)共享的IP地址段中�,第一個(gè)IP地址段為管理者的計(jì)算機(jī)預(yù)留�。
所需要說明的是上述的IP地址的分段是為了規(guī)劃設(shè)置方便、統(tǒng)一便于控制����,更是為了獲得更高的工作效率;如果PC工作站較少�����,劃分VLAN不多�,IP資源充足,也可以采用不分網(wǎng)段���,隨意劃分的方式����,但是一定不能引起資源的沖突,特別是在同一VLAN之中����,服務(wù)器、交換機(jī)�����、及PC的不同設(shè)置�����。
所述的服務(wù)器�,其端口跨越共享交換機(jī)的每一個(gè)VLAN端口,關(guān)于VLAN的共享�����,重在其公共端口的設(shè)置���,作好IEEE 802.1Q的標(biāo)記�。
且對(duì)于服務(wù)器��,只添加VLAN,不設(shè)置IP地址�。
所述的網(wǎng)卡,要使服務(wù)器或特殊的PC同時(shí)成為多個(gè)VLAN的成員��,必須支持IEEE的802.1Q協(xié)議����,以實(shí)現(xiàn)不同VIAN成員在服務(wù)器指定域的范圍內(nèi)完成相互間的通信,網(wǎng)卡的設(shè)置通過規(guī)劃和設(shè)置好IP的網(wǎng)段和地址��,并采用具體的IP設(shè)置與自動(dòng)識(shí)別相結(jié)合的方式��,對(duì)于管理者����,設(shè)置為自動(dòng)識(shí)別���,其它的進(jìn)行具體的IP設(shè)置����,這樣管理者可與任意一個(gè)下級(jí)進(jìn)行交流�,同時(shí)由于網(wǎng)段的劃分,使得資源得到合理的分割�,即提高了效率����,又不會(huì)發(fā)生沖突����。
多個(gè)VLAN位于同一交換機(jī)時(shí),可以通過端口轉(zhuǎn)發(fā)信息�,為了保障VLAN暢通、直接的聯(lián)絡(luò)�����,必須設(shè)置VLAN中繼�����,即VLANTrunking��,描述VLAN中繼的協(xié)議為IEEE 802.1Q����。
通常的VLAN設(shè)置都必須通過路由實(shí)現(xiàn)其網(wǎng)絡(luò)以及信息的交流,但是路由使VLAN不能做到物理上的斷開���,本發(fā)明可以實(shí)現(xiàn)物理上的完全斷開�����,從而避免與任何網(wǎng)絡(luò)的單獨(dú)連結(jié)���,使整個(gè)VLAN系統(tǒng)能夠獨(dú)立�����、安全地進(jìn)行運(yùn)轉(zhuǎn)和工作���,同時(shí)可以達(dá)到對(duì)于所保密的資料(具體分布于每個(gè)被管理者之間)無法通過每個(gè)被管理者或者同級(jí)管理者實(shí)現(xiàn)雙向交流,而只能對(duì)其上級(jí)管理者進(jìn)行單向的交流�����,而且��,此交流措施通過破解權(quán)限與密碼也無法實(shí)現(xiàn)�。
而且����,本發(fā)明將局部多個(gè)VLAN之間的聯(lián)系通過設(shè)置具有公共端口的VLAN連接起來,然后可以將全部的VLAN通過這種方式連接起來��,形成樹狀的連接、交流方式��,可以形成有效的單向交流方式���,完全能夠避免橫向的交流和不允許的非法交流����,從而使得整個(gè)網(wǎng)絡(luò)具有很高的安全可靠性能��。
交換機(jī)采用3COM公司的SuperStack 3 Switch 4300系列交換機(jī)����,它是48端口交換機(jī),能支持30個(gè)VLAN的設(shè)置����,進(jìn)行軟件升級(jí)后可以達(dá)到60個(gè)VLAN,但是它對(duì)公共端口的技術(shù)支持不夠��,不能設(shè)置端口使其成為不屬于任何VLAN的公共端口����。
另外,網(wǎng)卡是設(shè)置虛擬局域網(wǎng)的必要設(shè)施�,關(guān)于網(wǎng)卡����,我們選擇的是Intel公司8470C3和8460C3這兩種型號(hào)的網(wǎng)卡���,該型號(hào)的網(wǎng)卡支持VLAN技術(shù)IEEE 802.1Q標(biāo)準(zhǔn)���。
設(shè)置服務(wù)器及工作站特殊PC的網(wǎng)卡,先要安裝一個(gè)支持VLAN的附加程序(購(gòu)買網(wǎng)卡時(shí)自帶)�,然后按照其硬件所提供的說明設(shè)置即可。
交換機(jī)的VLAN端口的設(shè)置重在標(biāo)記(tag)運(yùn)用��,即一個(gè)端口如需要與其它端口共享一個(gè)VLAN��,則一定要作好標(biāo)記設(shè)置�����,具體可參見所使用硬件設(shè)備有關(guān)設(shè)置的說明����。
圖1所示,交換機(jī)分別連接服務(wù)器和各個(gè)部門的PC機(jī)�,并利用其端口對(duì)所連接的PC機(jī)以及服務(wù)器進(jìn)行VLAN的設(shè)置���,在本實(shí)施例中�����,每臺(tái)PC作為一個(gè)VLAN����。這樣可以使技術(shù)開發(fā)人員的計(jì)算機(jī)之間不能相互進(jìn)行信息交流,防止技術(shù)資料的流失��,同時(shí)�����,為了進(jìn)行適當(dāng)?shù)慕涣?,允許每個(gè)技術(shù)開發(fā)人員與其上級(jí)的管理者(即D級(jí)管理者)--部門經(jīng)理進(jìn)行單向交流。
一般情況下���,每個(gè)最小應(yīng)用單位作為一個(gè)VLAN設(shè)置���,最小應(yīng)用單位是指對(duì)相同產(chǎn)品進(jìn)行相同設(shè)計(jì)、開發(fā)或者管理的計(jì)算機(jī)單位�,它可以是一臺(tái)PC機(jī),也可以是多臺(tái)PC機(jī)的組合,它們具有同樣的功能和用途限定����,具有同等的使用權(quán)限。
交流的方式如圖2所示�����。在該圖中����,A級(jí)管理者沒有列出,可以是行政上的最高管理者�����,也可以是類似的管理者���,如總裁����;B級(jí)管理者通常是負(fù)責(zé)某個(gè)局部的工作�,如果機(jī)構(gòu)設(shè)置比較簡(jiǎn)練,也可以為行政最高長(zhǎng)官���,如總經(jīng)理�����;C級(jí)管理者通常是負(fù)責(zé)指揮���、協(xié)調(diào)工作的負(fù)責(zé)人,如開發(fā)部門副總經(jīng)理�;D級(jí)管理者則是基層的管理者,或者說是具體的開發(fā)負(fù)責(zé)人�,如某個(gè)產(chǎn)品的開發(fā)經(jīng)理、技術(shù)部負(fù)責(zé)人�。
圖2所示,每臺(tái)PC設(shè)置為一個(gè)獨(dú)立的VLAN后���,每個(gè)被管理者(技術(shù)開發(fā)人員)只能與其上級(jí)的管理者(部門經(jīng)理)進(jìn)行單向的交流�,而無法與同級(jí)的開發(fā)人員進(jìn)行交流�����,也無法與其它不同級(jí)的管理者進(jìn)行交流��;對(duì)于管理者����,如D級(jí)管理者��,除了與下級(jí)的被管理者進(jìn)行交流外�����,還可以與上級(jí)的C級(jí)管理者進(jìn)行交流�,下級(jí)的被管理者可以是一個(gè)���,也可以是多個(gè)��,但是無法與同級(jí)的管理者進(jìn)行交流�����,也無法與非自己管理的下級(jí)管理者進(jìn)行交流�����,無法與不同級(jí)的上級(jí)管理者交流�;C級(jí)管理者也是這種情況�。B級(jí)管理者,其上級(jí)只有一個(gè)���,故不存在與上級(jí)無法交流的問題�����,而且對(duì)于比較簡(jiǎn)單的控制方式�,通常最高管理者可以只設(shè)置到B級(jí)管理者即可���。
圖3所示���,VLAN劃分為1-40個(gè),VLAN1為交換機(jī)默認(rèn)VLAN�����,預(yù)留不用�����,其余的VLAN按照所屬的部門和應(yīng)用設(shè)置���,例如�����,其中VLAN2-7為工業(yè)設(shè)計(jì)部����,其服務(wù)器網(wǎng)卡的IP地址分配按照網(wǎng)段劃分(圖中所列),VLAN7為公共端口����,不作標(biāo)記,設(shè)置為D級(jí)管理者的VLAN��,其IP地址采用自動(dòng)識(shí)別的方式設(shè)置����,VLAN2-VLAN6的端口作好標(biāo)記,以便與VLAN7進(jìn)行溝通�,同時(shí),劃分IP地址的VLAN2-VLAN6之間不能進(jìn)行交流�����,使得VLAN2-VLAN6只能與VLAN7進(jìn)行單向的交流��。
同樣��,根據(jù)開發(fā)的具體情況�,本發(fā)明應(yīng)用的開發(fā)中心分為工業(yè)設(shè)計(jì)部����、系統(tǒng)工程部、軟件部、硬件部�����、韌體部(firmware)以及研發(fā)部副總幾個(gè)開發(fā)單位��,除研發(fā)部副總外�����,每個(gè)開發(fā)單位的VLAN設(shè)置方法與上述的工業(yè)設(shè)計(jì)部的設(shè)置一致。
對(duì)于研發(fā)部副總(為C級(jí)管理者)����,其VLAN設(shè)置為VLAN39,對(duì)應(yīng)于服務(wù)器網(wǎng)卡IP地址���,也采用自動(dòng)識(shí)別的方式設(shè)置�,以使其能夠與所有的技術(shù)人員的VLAN及部門經(jīng)理(D級(jí)管理者)進(jìn)行交流和調(diào)取資料�����。
上述VLAN的對(duì)應(yīng)的線號(hào)是唯一,且與其它網(wǎng)卡�、設(shè)備的設(shè)置對(duì)應(yīng)的。
圖4所示為本發(fā)明實(shí)施例C級(jí)管理者(即研發(fā)部副總)網(wǎng)卡的IP地址分配情況���。圖4中���,VLAN與網(wǎng)卡的IP地址的分配情況以及接線的線號(hào)與圖3所示服務(wù)器的設(shè)置是對(duì)應(yīng)的。
工程房的VLAN18的IP地址無論在服務(wù)器網(wǎng)卡��,還是在C級(jí)管理者(研發(fā)部副總)網(wǎng)卡的設(shè)置都是完全一樣的�。
每個(gè)技術(shù)人員(被管理者)的網(wǎng)卡,在服務(wù)器上的設(shè)置�,其末位為“1”,C級(jí)管理者(研發(fā)部副總)的網(wǎng)卡上設(shè)置的末位為“3”��,D級(jí)管理者(部門經(jīng)理)的網(wǎng)卡上設(shè)置的末位為“4”(如圖5所示)�����。
圖5為本發(fā)明實(shí)施例D級(jí)管理者及被管理者的IP地址在D級(jí)管理者(部門經(jīng)理)網(wǎng)卡上分配情況��。圖5中����,對(duì)于D級(jí)管理者(部門經(jīng)理)��,每個(gè)VLAN的IP地址與該VLAN的服務(wù)器網(wǎng)卡�����、C級(jí)管理者(研發(fā)部副總)網(wǎng)卡的IP地址是對(duì)應(yīng)的�����。
同時(shí)�,每個(gè)D級(jí)管理者(部門經(jīng)理)的網(wǎng)卡上還自動(dòng)識(shí)別C級(jí)管理者(研發(fā)部副總)的IP地址�。
對(duì)于每個(gè)VLAN的分配線號(hào),該圖所示的與圖3���、圖4一致。
圖6為本發(fā)明實(shí)施例交換機(jī)的端口設(shè)置分配情況的說明�����。圖6所示����,交換機(jī)按照順序?qū)⑵涠丝谝来畏峙錇楣I(yè)設(shè)計(jì)部、系統(tǒng)工程部�����、韌體部、工程房����、軟件部及硬件部的VLAN,其中�����,VLAN7�、VLAN12、VLAN16��、VLAN29����、VLAN38為各個(gè)部門的部門經(jīng)理(D級(jí)管理者)的VLAN,它們分別能夠與其部門的各個(gè)VLAN交流��。
其中���,Server(服務(wù)器)1b(縮寫為S1b)端口跨越共享該交換機(jī)的每一個(gè)VLAN端口����。
至于具體VLAN的設(shè)置方法等,現(xiàn)有技術(shù)已經(jīng)充分公開過���,而且關(guān)于IEEE 802.1Q標(biāo)準(zhǔn)中也有相應(yīng)的規(guī)定��,在此不作詳細(xì)說明���。
前面所描述的是本發(fā)明的一種比較好的實(shí)施例,并不是實(shí)現(xiàn)本發(fā)明的唯一手段���,也可以選擇不偏離本發(fā)明范圍和目的的其它實(shí)施方式來實(shí)現(xiàn)����。
權(quán)利要求
1.一種用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng)����,其可以包含多個(gè)VLAN,VLAN由服務(wù)器���、交換機(jī)和多臺(tái)計(jì)算機(jī)構(gòu)成,其特征在于VLAN的設(shè)置通常采用30個(gè)以上的VLAN���,每個(gè)VLAN之間以IP地址�、MAC地址和交換機(jī)端口捆綁式結(jié)合來劃分,以確定其權(quán)限和交流方向����。
2.如權(quán)利要求1所述的用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng),其特征在于每個(gè)最小應(yīng)用單位享有一個(gè)VLAN����,并按照IP地址被劃分為一個(gè)獨(dú)立的網(wǎng)段,其上級(jí)管理者采用IP地址自動(dòng)識(shí)別的方式�����,共享其下級(jí)被管理者的VLAN�,且使用自動(dòng)設(shè)置來分配IP地址,上述的IP地址結(jié)合交換機(jī)的端口劃分����,使之連接固定,只能進(jìn)行單向的信息交流����。
3.如權(quán)利要求2所述的用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng),其特征在于最小應(yīng)用單位���,是指對(duì)相同產(chǎn)品進(jìn)行相同設(shè)計(jì)�����、開發(fā)或者管理的計(jì)算機(jī)單位���,它可以是一臺(tái)PC機(jī)���,也可以是多臺(tái)PC機(jī)的組合,它們具有同樣的功能和用途限定����,具有同等的使用權(quán)限。
4.如權(quán)利要求1所述的用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng)����,其特征在于將每臺(tái)PC機(jī)設(shè)計(jì)成一個(gè)VLAN,總體上具有類似功能或者應(yīng)用的PC機(jī)設(shè)置有具有管理功能的工作站�,該工作站享有公共端口,能與上述的每個(gè)VLAN進(jìn)行交流�����,但是每個(gè)VLAN之間是不能進(jìn)行橫向交流的���。
5.如權(quán)利要求1所述的用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng)���,其特征在于所述的VLAN同時(shí)還可以通過MAC地址劃分。
6.如權(quán)利要求5所述的用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng)����,其特征在于MAC地址的增設(shè),是根據(jù)每臺(tái)計(jì)算機(jī)網(wǎng)卡的硬件地址�,以及其所連接的端口,在交換機(jī)上增加其MAC地址���,并指定其所屬的VLAN�,確定所述的端口的安全狀態(tài)為靜態(tài)的即可����。
7.如權(quán)利要求4或6所述的用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng),其特征在于將每臺(tái)計(jì)算機(jī)作為一個(gè)VLAN�����,從服務(wù)器和PC工作站上對(duì)其進(jìn)行IP地址設(shè)置���,管理者的IP地址段使用自動(dòng)設(shè)置�,被管理的計(jì)算機(jī)按照IP地址段劃分;不同級(jí)別的計(jì)算機(jī)按照不同的IP地址段劃分���,并結(jié)合MAC地址�,直接從服務(wù)器和交換機(jī)上對(duì)其進(jìn)行設(shè)置���。
8.如權(quán)利要求1或2所述的用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng)����,其特征在于所述的IP地址的劃分�����,從網(wǎng)段1開始���,各網(wǎng)段的前2個(gè)IP地址均留給服務(wù)器�,其它的IP地址分配給個(gè)被管理者��。IP地址的分配最好按照地址段指定的方式�����,給每個(gè)計(jì)算機(jī)指定IP地址���,對(duì)于預(yù)留的兩個(gè)IP地址���,其中一個(gè)是預(yù)留給管理者,一個(gè)留給服務(wù)器使用��。
9.如權(quán)利要求8所述的用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng)�,其特征在于上述的IP地址的劃分,對(duì)于管理者�����,其計(jì)算機(jī)網(wǎng)卡上設(shè)置VLAN��,不設(shè)置IP地址���,且每個(gè)管理者的計(jì)算機(jī)與其管理的計(jì)算機(jī)共享的IP地址段中�,第一個(gè)IP地址段為管理者的計(jì)算機(jī)預(yù)留���。
10.如權(quán)利要求1所述的用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng)����,其特征在于所述的服務(wù)器����,其端口跨越共享交換機(jī)的每一個(gè)VLAN端口��,關(guān)于VLAN的共享��,重在其公共端口的設(shè)置���,作好IEEE 802.1Q的標(biāo)記。
11.如權(quán)利要求1所述的用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng)�����,其特征在于且對(duì)于服務(wù)器�����,只添加VLAN����,不設(shè)置IP地址。
12如權(quán)利要求1所述的用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng)����,其特征在于所述的網(wǎng)卡,要使服務(wù)器或特殊的PC同時(shí)成為多個(gè)VLAN的成員,必須支持IEEE的802.1Q協(xié)議�,以實(shí)現(xiàn)不同VLAN成員在服務(wù)器指定域的范圍內(nèi)完成相互間的通信,網(wǎng)卡的設(shè)置通過規(guī)劃和設(shè)置好IP的網(wǎng)段和地址��,并采用具體的IP設(shè)置與自動(dòng)識(shí)別相結(jié)合的方式���,對(duì)于管理者����,設(shè)置為自動(dòng)識(shí)別����,其它的進(jìn)行具體的IP設(shè)置��。
13.如權(quán)利要求1所述的用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng)�����,其特征在于多個(gè)VLAN位于同一交換機(jī)時(shí)�,可以通過端口轉(zhuǎn)發(fā)信息,為了保障VLAN暢通����、直接的聯(lián)絡(luò),必須設(shè)置VLAN中繼,即VLANTrunking��,描述VLAN中繼的協(xié)議為IEEE 802.1Q��。
14.如權(quán)利要求2或4所述的用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng)�,其特征在于對(duì)于最小應(yīng)用單位及其管理者,服務(wù)器網(wǎng)卡的IP地址分配按照網(wǎng)段劃分��,管理者的VLAN設(shè)置為公共端口����,不作標(biāo)記,并設(shè)置為D級(jí)管理者的VLAN��,其IP地址采用自動(dòng)識(shí)別的方式設(shè)置���,每個(gè)最小應(yīng)用單位的VLAN端口作好標(biāo)記���,以便與管理者的VLAN進(jìn)行溝通。
全文摘要
本發(fā)明公開了用于虛擬網(wǎng)絡(luò)的信息單向傳輸系統(tǒng)�����,其可以包含多個(gè)VLAN�,VLAN由服務(wù)器、交換機(jī)和多臺(tái)計(jì)算機(jī)構(gòu)成,VLAN的設(shè)置通常采用30個(gè)以上的VLAN�����,每個(gè)VLAN之間以IP地址����、MAC地址和交換機(jī)端口捆綁式結(jié)合來劃分,以確定其權(quán)限和交流方向�����。利用現(xiàn)有的虛擬局域網(wǎng)(VLAN)方案��,取消路由器的使用�,避免入侵者通過路由進(jìn)行入侵或者破壞�����,使得達(dá)到安全可靠地保密要求���。
文檔編號(hào)G06F12/14GK1469253SQ0212428
公開日2004年1月21日 申請(qǐng)日期2002年7月15日 優(yōu)先權(quán)日2002年7月15日
發(fā)明者孫貴奇, 孫貴明 申請(qǐng)人:深圳麥?zhǔn)客萍加邢薰?