[发明专利]一种控制同一广播域内PC互访的虚拟VLAN方法

说明书

技术领域

本发明涉及计算机网络，具体涉及一种控制同一广播域内PC互访的虚拟VLAN方法。

背景技术

局域网通常是一个单独的广播域，主要由Hub、网桥或交换机等网路设备连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信，而处于不同局域网段的设备之间的通信则必须经过路由器才能通信。随着网络的不断扩展，接入设备逐渐增多，网络结构也日趋复杂，必须使用更多的路由器才能将不同的用户划分到各自的广播域中，在不同的局域网之间提供网络互联。

而虚拟局域网VLAN含一组逻辑上的设备和用户，根据功能、部门类别及应用需求等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备来实现。

然而，随着网络的迅速发展，用户对于网络数据通信的安全情提出了更高的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性；传统的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。然而，这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限，其主要表现在以下几点：

1、VLAN的限制：交换机固有的VLAN数目的限制；

2、复杂的STP：对于每个VLAN，每个相关的Spanning Tree的拓扑都需要管理；

3、IP地址的紧缺：IP子网的划分势必造成一些IP地址的浪费；

4、路由的限制：每个子网都需要相应的默认网关的配置。

发明内容

针对上述现有技术中存在的诸多问题，本发明的目的是：提出一种控制同一广播域内PC互访的虚拟VLAN方法，以解决上述问题。

本发明解决其技术问题所采用的技术方案是：

一种控制同一广播域内PC互访的虚拟VLAN方法，其是由客户端基于MAC地址的控制方法来实现的，其具体包括：

通过TPN客户端添加信任的MAC地址；

针对用户组的权限设置，设置用户组之间的互访权限；

在通过TPN客户端成功登陆后，网关根据跨组访问中设置的权限，将信任MAC中可以访问的MAC地址下发至带有虚拟VLAN功能的用户的客户端；

用户通过带有虚拟VLAN功能的用户客户端访问其他用户时，客户端判断访问用户的MAC地址是否在信任MAC中，若存在，则直接放行，否则不允许访问。

所述添加信任的MAC地址分为自动添加动态MAC地址和手动添加静态MAC地址两种方法实现。

由于客户端基于MAC地址的控制方法只能控制同一网段的用户，因此下述提供另一种控制方法。

一种控制同一广播域内PC互访的虚拟VLAN方法，其是由客户端基于IP地址的控制方法来实现的，其具体包括：

配置所需的IP控制范围；

通过TPN客户端添加信任的IP地址；

针对用户组的权限设置，设置用户组之间的互访权限；

在通过TPN客户端成功登陆后，网关根据跨组访问中设置的权限，将信任IP中可以访问的IP地址下发至带有虚拟VLAN功能的用户的客户端；

用户通过带有虚拟VLAN功能的用户客户端访问其他用户时，客户端判断访问用户的IP地址是否在IP控制范围内，如果不在范围内，则直接放行，否则再检查访问的IP地址是否在信任的IP中，若存在，直接放行，否则不允许访问。

所述添加信任的IP地址分为自动添加动态的IP地址和手动添加静态的IP地址两种方法实现。

另外，针对上述两种实现方法，本发明还提供了一种将上述两种方法相结合的控制方法，其具体如下：

一种控制同一广播域内PC互访的虚拟VLAN方法，所述方法是由客户端基于MAC地址控制和基于IP地址控制两种方法相结合而实现的，其具体实施步骤如下：

配置所需的IP控制范围；

通过TPN客户端添加信任的IP地址和MAC地址；

针对用户组的权限设置，设置用户组之间的互访权限；

在通过TPN客户端成功登陆后，网关根据跨组访问中设置的权限，将信任IP地址和信任MAC地址中可以访问的IP地址和MAC地址下发至带有虚拟VLAN功能的用户的客户端；