本发明专利技术公开了一种基于隔离IP地址的独立链路式通信处理方法,包括在路由内部分配给每一个用户设备不同的IP地址,使所有用户设备均在不同的网段上;以及在路由器与每个用户设备之间的交换机和/或网桥接口上配置链路生成树协议。本发明专利技术彻底阻断用户之间的网段内通信,增加安全性;并且利用链路生成树协议,增加量网络连接的灵活性、安全性,抑制广播风暴增加网络稳定可靠性。
【技术实现步骤摘要】
本专利技术属于通信
,涉及信息安全技术,具体为一种基于隔离IP地址的独立链路式通信处理方法,可应用于包括免费商业WiFi路由器的网络构架;本专利技术还提高了实现该处理方法的系统。
技术介绍
现在的IP安全策略大多采用只开放一个IP地址,以阻断服务器以外的协议相应,外部请求的数据包虽然也会到达服务器,但是由于数据包里的IP地址不符合IP安全策略,服务器对收到的数据包将直接进行丢弃。但是这种方法无法阻止网络内部的通信监听,无法全面的保障用户的上网安全。而另一种AP隔离(AP Isolation),指开启后,是各个连接的电脑之间不能相互访问,起到隔离的作用,来保护不用用户之间的数据安全,适合大型的会议室、酒店、机场等公用场所的无线网络建设。现在的隔离方式大多采用AP隔离,是由路由器的设置决定的,而这种方式是将接入点进行隔离。路由器只应答和路由器有关的访问,用户之间不能进行异地访问,比如设备IP地址192.168.1.3的用户不能访问设备IP地址192.168.1.5的用户,但是两者都可以和设备IP地址192.168.1.1的路由器进行通信。该技术舍得每一个IP通道都有一个网络,都有一个独立的路由,而所有的信息都要发给终端设备,也就是路由器;在终端设备上,依然可以和各个用户之间实现通信,这就给系统留下了安全隐患,也就是说如果站在终端设备上的话,又实现了明文传输,所以需要进行链路隔离。有鉴于此,特提出本专利技术。
技术实现思路
本专利技术要解决的技术问题在于克服现有技术的不足,提供一种基于隔离IP地址的独立链路式通信处理方法和系统,通过构建独立链路传输实现网络通信的安全性,可靠性。为解决上述技术问题,本专利技术采用技术方案的基本构思是:一种基于隔离IP地址的独立链路式通信处理方法,包括在路由内部分配给每一个用户设备不同的IP地址,使所有用户设备均在不同的网段上;以及在路由器与每个用户设备之间的交换机和/或网桥接口上配置链路生成树协议。进一步的,上述处理方法中,所述在路由器与每个用户设备之间的交换机和/或网桥接口上配置链路生成树协议包括:根据用户设备的身份为该用户设备生成一个单独的虚拟链路,不同的用户设备被分别分配到不同的通信接口从而形成独立链路。进一步的,上述处理方法中,所述链路生成树协议的实现步骤包括:路由器接收用户设备通过交换机或网桥接口发送的MAC地址,并向服务器发送包含MAC地址与时间戳的请求消息,以使得服务器接收到所述请求消息后生成密钥,并将所述密钥发送给路由器;所述路由器根据所述MAC地址和所述密钥生成链路ID,并将所述链路ID发送给所述服务器,以使得所述服务器根据所述链路ID生成独立链路,并将所述独立链路发送给所述路由器;所述路由器获取所述服务器发送的所述独立链路,并通过所述独立链路经所述交换机或网桥接口与所述用户设备进行握手。进一步的,上述处理方法中,所述路由器获取所述服务器发送的所述独立链路,并通过所述独立链路与所述用户设备进行握手之后,所述方法还包括:所述路由器将握手结果发送至所述服务器。进一步的,上述处理方法中,在一条所述独立链路中的用户设备对应一个交换机或网桥接口,由交换机或网桥的端口直接控制数据的转发以及链路的断开与连接,接口接收并发送BPDU报文,进行该用户设备MAC地址学习。进一步的,上述处理方法中,所述路由器和交换机接口上配置ACL策略。进一步的,上述处理方法中,所述路由器获取所述服务器发送的所述独
立链路,并通过所述独立链路经所述交换机或网桥接口与所述用户设备进行握手后,所述方法还包括所述路由器向所述服务器发送包含链路ID的请求消息,以使得所述服务器根据所述包含链路ID的请求消息生成一个虚拟IP地址,并通过所述路由器将所述虚拟IP地址分配给所述用户设备且将所述虚拟IP地址映射到所述路由器所在网段内的一个未被分配的IP地址上。进一步的,上述处理方法中,所述未被分配的IP地址为所述路由器所在网段内的一个未被分配的随机IP地址。本专利技术还包括一种实现上述处理方法的处理系统,包括依次通信连接的服务器、路由器、交换机和/或网桥、以及用户设备。采用上述技术方案后,本专利技术与现有技术相比具有以下有益效果:彻底阻隔客户端之间的网段内通信,来防止主动式的扫描与ARP欺骗监听;1>增加了网络连接的灵活性本专利技术能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。独立链路可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了独立链路后,这部分管理费用大大降低;2>控制网络上的广播可以将某个交换端口或用户赋于某一个特定的链路组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个链路中的广播不会送到链路之外。同样,相邻的端口不会收到其他链路产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生;3>增加网络的安全性独立链路就是一个单独的广播域,链路之间相互隔离,这大大提高了网络的利用率,确保了网络的安全保密性。人们在LAN上常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。本专利技术还可以将网络分段成几个不同的广播组,网络管理员限制了VLAN中用户的数量,禁止未经允许而访问链路中的应用。交换端口可以基于应用类型和访问特权来
进行分组,被限制的应用程序和资源一般置于安全性链路中;4>抑制广播风暴生成树协议可以有效的抑制广播风暴。开启生成树协议后抑制广播风暴,网络将会更加稳定,可靠性、安全性会大大增强。开启广播风暴控制后,当端口收到的广播帧累计到预定门限值时,端口将自动丢弃收到的广播帧。当未启用该功能或广播帧未累计到门限时,广播帧将被正常广播到交换机的其它端口。借助于对端口的广播风暴控制,可以有效地避免硬件损坏或链路故障导致的网络瘫痪。附图说明图1是本专利技术提供的基于隔离IP地址的独立链路式通信处理方法流程图;图2是本专利技术中链路生成树协议的实施流程图;图3是本专利技术提供的基于隔离IP地址的独立链路式通信处理系统结构图。具体实施方式下面结合附图和具体实施例,对本专利技术作进一步说明,以助于理解本专利技术的内容。本专利技术可以用于各种WIFI设备涉及的网络架构,如常见的免费商业WIFI,图3所示为本专利技术实施例涉及的网络拓扑图,具体包括依次通信连接的服务器、路由器、交换机和/或网桥接口、以及用户设备,该服务器可以是普通的物理服务器,但优选采用云服务器,以实现快速部署并根据用户业务规模进行配置;路由器可作为免费WIFI热点,路由器通过交换机和/或网桥供多个用户设备(User Equipment)接入。一种在上述网络拓扑结构上实施的基于隔离IP地址的独立链路式通信处理方法,如图1-2所示,包括:S101.在路由内部分配给每一个用户设备不同的IP地址,使得所有用户设备均在不同的网段上;以及在路由器与每个用户设备之间的交换机和/或网桥接口上配置链路生成树协议。1、具体的,本专利技术改变现有技术中路由器的网段到网段的IP路由方式,使每个终端设备工作在独立的单IP地址网段上;即在路由内部分配给所有用户设备均不同的IP地址,使得每一个用户设备工作在不同的网段上,从而他们之间的通信被本文档来自技高网...
【技术保护点】
一种基于隔离IP地址的独立链路式通信处理方法,其特征在于:包括在路由内部分配给每一个用户设备不同的IP地址,使所有用户设备均在不同的网段上;以及在路由器与每个用户设备之间的交换机和/或网桥接口上配置链路生成树协议。
【技术特征摘要】
1.一种基于隔离IP地址的独立链路式通信处理方法,其特征在于:包括在路由内部分配给每一个用户设备不同的IP地址,使所有用户设备均在不同的网段上;以及在路由器与每个用户设备之间的交换机和/或网桥接口上配置链路生成树协议。2.根据权利要求1所述的基于隔离IP地址的独立链路式通信处理方法,其特征在于:所述在路由器与每个用户设备之间的交换机和/或网桥接口上配置链路生成树协议包括:根据用户设备的身份为该用户设备生成一个单独的虚拟链路,不同的用户设备被分别分配到不同的通信接口从而形成独立链路。3.根据权利要求2所述的基于隔离IP地址的独立链路式通信处理方法,其特征在于:所述链路生成树协议的实现步骤包括:路由器接收用户设备通过交换机或网桥接口发送的MAC地址,并向服务器发送包含MAC地址与时间戳的请求消息,以使得服务器接收到所述请求消息后生成密钥,并将所述密钥发送给路由器;所述路由器根据所述MAC地址和所述密钥生成链路ID,并将所述链路ID发送给所述服务器,以使得所述服务器根据所述链路ID生成独立链路,并将所述独立链路发送给所述路由器;所述路由器获取所述服务器发送的所述独立链路,并通过所述独立链路经所述交换机或网桥接口与所述用户设备进行握手。4.根据权利要求3所述的基于隔离IP地址的独立链路式通信处理方法,其特征在于:所述路由器获取所述服务器发送的所述独立链路,并通过所述独立链路与所述...
【专利技术属性】
技术研发人员:梁肇亮,张寿权,王洋,杨勇健,
申请(专利权)人:天津赞普科技股份有限公司,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。