虛擬局域網(wǎng)IP地址訪問(wèn)控制方法研究

李晉峰

學(xué)術(shù)研究

虛擬局域網(wǎng)IP地址訪問(wèn)控制方法研究

李晉峰

（長(zhǎng)治職業(yè)技術(shù)學(xué)院，山西 長(zhǎng)治 046011）

針對(duì)當(dāng)前虛擬局域網(wǎng)的控制方法在實(shí)際應(yīng)用中受訪問(wèn)用戶(hù)數(shù)量的影響，導(dǎo)致控制準(zhǔn)確率和耗時(shí)無(wú)法達(dá)到預(yù)期要求的問(wèn)題，開(kāi)展虛擬局域網(wǎng)IP地址訪問(wèn)控制方法研究。通過(guò)局域網(wǎng)IP地址定位、用戶(hù)身份識(shí)別和IP地址訪問(wèn)控制，提出一種針對(duì)虛擬局域網(wǎng)的訪問(wèn)控制方法。通過(guò)對(duì)比實(shí)驗(yàn)證明，本文提出的控制方法在有效提高訪問(wèn)控制準(zhǔn)確率的前提下，可縮短控制耗時(shí)，促進(jìn)虛擬局域網(wǎng)運(yùn)行效率的全面提升。

虛擬局域網(wǎng)；IP地址；訪問(wèn)控制；用戶(hù)身份識(shí)別

0 引言

隨著通信及互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)無(wú)論是速度，還是規(guī)模都得到較大提升；同時(shí)，網(wǎng)絡(luò)中的資源種類(lèi)和數(shù)量不斷增加，相應(yīng)的IP地址數(shù)量也不斷增加[1-2]。在網(wǎng)絡(luò)運(yùn)行過(guò)程中，經(jīng)常性的網(wǎng)絡(luò)調(diào)整和變動(dòng)，也使IP地址在管理上更加復(fù)雜。與互聯(lián)網(wǎng)環(huán)境相比，虛擬局域網(wǎng)中的IP地址數(shù)量盡管相對(duì)較少，但仍然存在管理困難的問(wèn)題[3]。在虛擬局域網(wǎng)中，每臺(tái)主機(jī)都需要局域網(wǎng)提供一個(gè)唯一的IP地址才能與互聯(lián)網(wǎng)連通；同時(shí)，為了確保虛擬局域網(wǎng)正常運(yùn)行以及內(nèi)部資源安全，針對(duì)不同的IP地址訪問(wèn)進(jìn)行控制具有十分重要的現(xiàn)實(shí)意義[4-5]。通過(guò)合理的訪問(wèn)控制可有效預(yù)防資源越權(quán)使用問(wèn)題的產(chǎn)生。為此，本文開(kāi)展虛擬局域網(wǎng)IP地址訪問(wèn)控制方法研究，進(jìn)一步提高虛擬局域網(wǎng)的安全運(yùn)行。

1 虛擬局域網(wǎng)IP地址訪問(wèn)控制方法

1.1 局域網(wǎng)IP地址定位

為實(shí)現(xiàn)IP地址訪問(wèn)虛擬局域網(wǎng)的控制，首先需確定虛擬局域網(wǎng)中某臺(tái)IP地址已知的設(shè)備所連接的交換機(jī)以及相應(yīng)端口，達(dá)到對(duì)其定位的目的[6-7]。在定位過(guò)程中，可引入分析方法。虛擬局域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)示意圖如圖1所示。

圖1 虛擬局域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)示意圖

圖1所示的虛擬局域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)由1臺(tái)服務(wù)器、2臺(tái)交換機(jī)、2臺(tái)計(jì)算機(jī)組成。其中，2臺(tái)交換機(jī)分別對(duì)應(yīng)2個(gè)路由端口，2臺(tái)計(jì)算機(jī)分別對(duì)應(yīng)2個(gè)PC端口。利用分析方法，找出計(jì)算機(jī)與其直接連接的交換機(jī)端口，即可實(shí)現(xiàn)對(duì)局域網(wǎng)IP地址定位。在虛擬局域網(wǎng)中，找出ARP緩存列表，確定IP地址。由于ARP在實(shí)際應(yīng)用中無(wú)法跨VLAN運(yùn)行，因此選擇MSFC作為連接方式。在局域網(wǎng)中，利用VLAN端口對(duì)ARP正確解釋?zhuān)⑼ㄟ^(guò)路由交換機(jī)完成指令的識(shí)別與執(zhí)行[8-9]。完成指令輸入后，在顯示窗口中IP地址若能夠與對(duì)應(yīng)的Router設(shè)備相連接，即可實(shí)現(xiàn)交換機(jī)位置的定位和識(shí)別。如識(shí)別出交換機(jī)位置，則停止定位，直接將定位結(jié)果輸出；如未識(shí)別出交換機(jī)位置，則需要重復(fù)上述步驟繼續(xù)追查，直到找出不是交換機(jī)的定位結(jié)果，以此實(shí)現(xiàn)局域網(wǎng)IP地址的定位。

1.2 用戶(hù)身份識(shí)別

局域網(wǎng)IP地址定位完成后，對(duì)訪問(wèn)虛擬局域網(wǎng)的用戶(hù)身份進(jìn)行識(shí)別。識(shí)別前，需對(duì)大量用戶(hù)進(jìn)行初次“海選”。將相似用戶(hù)匯總到一個(gè)相似用戶(hù)集中，在確保訪問(wèn)效率的基礎(chǔ)上，將相似用戶(hù)范圍盡可能縮小。用戶(hù)間相似性的量化利用公式(1)計(jì)算：

式中：

在此基礎(chǔ)上，用戶(hù)身份識(shí)別的具體步驟為：

第一步，在識(shí)別前，獲取訪問(wèn)用戶(hù)的真實(shí)基本信息和網(wǎng)絡(luò)基本信息；

第二步，對(duì)能代表用戶(hù)屬性的身份信息進(jìn)行格式化處理。通過(guò)公式(1)初步劃分的相似用戶(hù)集，僅代表用戶(hù)訪問(wèn)IP地址行為的相似度。在身份識(shí)別過(guò)程中，不具備代表性，還需對(duì)用戶(hù)身份與局域網(wǎng)中設(shè)定的用戶(hù)身份訪問(wèn)類(lèi)型共有屬性相似度進(jìn)行計(jì)算，計(jì)算公式為

式中：

1.3 IP地址訪問(wèn)控制

實(shí)現(xiàn)用戶(hù)身份識(shí)別后，對(duì)IP地址訪問(wèn)進(jìn)行控制。首先，明確控制的3個(gè)要素為：主體（發(fā)出訪問(wèn)操作的用戶(hù)）、客體（被訪問(wèn)的對(duì)象，如程序、進(jìn)程、數(shù)據(jù)等）、授權(quán)策略（一套完整訪問(wèn)規(guī)則）。從數(shù)學(xué)角度對(duì)授權(quán)策略進(jìn)行分析，將其看作一個(gè)矩陣，矩陣中的每一行看作一個(gè)主體，每一列看作一個(gè)客體，行與列的交點(diǎn)為訪問(wèn)節(jié)點(diǎn)。在控制過(guò)程中，引入網(wǎng)絡(luò)分段和虛擬網(wǎng)絡(luò)技術(shù)控制虛擬局域網(wǎng)用戶(hù)完成訪問(wèn)，確保用戶(hù)能夠在局域網(wǎng)中合法獲取所需資源，同時(shí)又能夠限制其他用戶(hù)對(duì)該用戶(hù)私有資源的訪問(wèn)，以此提高局域網(wǎng)訪問(wèn)的安全性。

在實(shí)際應(yīng)用中，確定主體用戶(hù)身份信息后，針對(duì)主體用戶(hù)整個(gè)訪問(wèn)過(guò)程繼續(xù)進(jìn)行控制。訪問(wèn)控制包含用戶(hù)身份認(rèn)證、用戶(hù)授權(quán)控制2方面。其中，用戶(hù)授權(quán)控制可看作是對(duì)主體和客體的控制。根據(jù)不同的授權(quán)策略，共包含4種類(lèi)型的集中控制方式：第一種，自主訪問(wèn)類(lèi)型；第二種，強(qiáng)制訪問(wèn)類(lèi)型；第三種，基于角色的訪問(wèn)類(lèi)型；第四種，基于任務(wù)的訪問(wèn)類(lèi)型。針對(duì)IP地址訪問(wèn)的有效控制可促進(jìn)用戶(hù)信息完整性和機(jī)密性的提升。在控制過(guò)程中，還需要對(duì)授權(quán)頒發(fā)是否影響網(wǎng)絡(luò)可用性指令，是否能夠獲取拒絕服務(wù)攻擊信息等進(jìn)行判斷。

2 仿真實(shí)驗(yàn)設(shè)計(jì)

為進(jìn)一步驗(yàn)證IP地址訪問(wèn)控制方法的實(shí)際應(yīng)用效果，選擇傳統(tǒng)基于路由器訪問(wèn)控制列表的控制方法作為對(duì)照組，將其應(yīng)用時(shí)的參數(shù)設(shè)定作為對(duì)照條件，本文控制方法作為實(shí)驗(yàn)組，開(kāi)展對(duì)比實(shí)驗(yàn)。

實(shí)驗(yàn)在某校園虛擬局域網(wǎng)環(huán)境進(jìn)行，選擇控制準(zhǔn)確率以及控制耗時(shí)為評(píng)價(jià)指標(biāo)，對(duì)兩組控制方法進(jìn)行綜合評(píng)價(jià)。該校園虛擬局域網(wǎng)包含教師身份訪問(wèn)、學(xué)生身份訪問(wèn)、校內(nèi)身份訪問(wèn)（除教師和學(xué)生身份以外的用戶(hù)，如學(xué)校管理員、輔導(dǎo)員等）、校外身份訪問(wèn)4種訪問(wèn)類(lèi)型。4種訪問(wèn)類(lèi)型對(duì)應(yīng)4個(gè)訪問(wèn)通道，隨機(jī)選擇1 000名實(shí)驗(yàn)志愿者作為訪問(wèn)用戶(hù)，根據(jù)4種訪問(wèn)類(lèi)型進(jìn)行隨機(jī)劃分，在不知道具體劃分情況的前提下，利用兩組訪問(wèn)控制方法對(duì)其進(jìn)行控制，對(duì)比其訪問(wèn)結(jié)果。

2.1 控制準(zhǔn)確率比較

為實(shí)現(xiàn)實(shí)驗(yàn)組和對(duì)照組控制準(zhǔn)確率的對(duì)比，按公式(3)對(duì)控制結(jié)果參數(shù)進(jìn)行計(jì)算：

式中：

根據(jù)公式(3)，計(jì)算實(shí)驗(yàn)組和對(duì)照組2種控制方法的準(zhǔn)確率，實(shí)驗(yàn)結(jié)果如表1所示。

表1 實(shí)驗(yàn)組與對(duì)照組控制方法準(zhǔn)確率結(jié)果對(duì)比表

由表1可以看出，實(shí)驗(yàn)組的控制準(zhǔn)確率均超過(guò)95.00%；而對(duì)照組最高控制準(zhǔn)確率69.23%出現(xiàn)在用戶(hù)訪問(wèn)數(shù)量為200名時(shí)，并且隨著用戶(hù)訪問(wèn)數(shù)量增加，對(duì)照組控制準(zhǔn)確率呈現(xiàn)明顯下降趨勢(shì)。由此可知，實(shí)驗(yàn)組控制方法的準(zhǔn)確率更高，且不受用戶(hù)訪問(wèn)數(shù)量的影響。

2.2 控制耗時(shí)比較

以上述實(shí)驗(yàn)內(nèi)容為基礎(chǔ)，對(duì)2種控制方法的IP地址訪問(wèn)控制耗時(shí)進(jìn)行對(duì)比[10]。從IP地址訪問(wèn)開(kāi)始，到本文控制方法為其自動(dòng)分配訪問(wèn)通道實(shí)現(xiàn)訪問(wèn)為止的時(shí)間為控制耗時(shí)，2種控制方法的耗時(shí)記錄如圖2所示。

圖2 實(shí)驗(yàn)組與對(duì)照組控制耗時(shí)比較圖

由圖2可以看出，實(shí)驗(yàn)組的控制耗時(shí)最高為68.32 ms，對(duì)照組的控制耗時(shí)最高為98.32 ms；在用戶(hù)訪問(wèn)數(shù)量相同的情況下，實(shí)驗(yàn)組的控制耗時(shí)均小于對(duì)照組。因此，通過(guò)實(shí)驗(yàn)進(jìn)一步證明，實(shí)驗(yàn)組的控制方法控制耗時(shí)更短，控制效率更高。

綜合上述2組實(shí)驗(yàn)結(jié)果得出，本文提出的控制方法在真實(shí)虛擬局域網(wǎng)運(yùn)行環(huán)境中，在保證控制準(zhǔn)確率的前提條件下，可提高控制效率。

3 結(jié)論

本文提出一種面向虛擬局域網(wǎng)的訪問(wèn)控制方法，并通過(guò)對(duì)比實(shí)驗(yàn)，從控制準(zhǔn)確率和控制耗時(shí)2方面驗(yàn)證了本文控制方法的可行性和優(yōu)勢(shì)。在今后的研究中，還將充分利用虛擬局域網(wǎng)中交換機(jī)在定位網(wǎng)絡(luò)設(shè)備中的應(yīng)用優(yōu)勢(shì)，開(kāi)展更加深入的訪問(wèn)控制研究；利用其實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)故障的快速排查，進(jìn)一步提高虛擬局域網(wǎng)運(yùn)行環(huán)境安全性。

[1] 王貴.路由器訪問(wèn)控制列表在計(jì)算機(jī)局域網(wǎng)網(wǎng)絡(luò)安全中的應(yīng)用[J].電子世界,2021(19):174-175.

[2] 李倩.網(wǎng)絡(luò)安全多層面聯(lián)動(dòng)主動(dòng)防御體系的研究與應(yīng)用[J].自動(dòng)化與信息工程,2019,40(4):20-24.

[3] 尹虹,田濤.基于無(wú)證書(shū)公鑰密碼的鐵路通信網(wǎng)訪問(wèn)控制方案研究[J].鐵路計(jì)算機(jī)應(yīng)用,2020,29(8):48-51.

[4] 古麗色曼爾·艾尼瓦爾.淺談辦公局域網(wǎng)中心控制機(jī)房設(shè)備管理與維護(hù)[J].電腦知識(shí)與技術(shù),2020,16(17):54-55.

[5] 余愛(ài)民,賴(lài)聲禮,陳荷,等.無(wú)線局域網(wǎng)信息安全主流技術(shù)的探討[J].機(jī)電工程技術(shù),2003,32(5):18-19,22.

[6] 王燁,夏長(zhǎng)春,匡興紅.水下機(jī)器人的設(shè)計(jì)與CSMA/CD局域網(wǎng)控制系統(tǒng)的研究[J].制造業(yè)自動(dòng)化,2021,43(8):22-28,51.

[7] 刁海平.考慮需求響應(yīng)的電力負(fù)荷自動(dòng)調(diào)度方法[J].自動(dòng)化應(yīng)用,2021(11):111-112.

[8] 牛玉坤,魏凌波,張馳,等.基于比特幣區(qū)塊鏈的公共無(wú)線局域網(wǎng)接入控制隱私保護(hù)研究[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào),2020,6 (2):56-66.

[9] 梁雪青,杜舒明,劉超,等.基于數(shù)據(jù)挖掘的電力數(shù)據(jù)調(diào)度傳輸方法[J].數(shù)字技術(shù)與應(yīng)用,2021,39(12):77-79.

[10] 高靜晗.基于AutoCAD的室內(nèi)建筑裝飾布局設(shè)計(jì)研究[J].信息與電腦(理論版),2021,33(12):35-37.

Research on IP Address Access Control Method of Virtual Local Area Network

LI Jinfeng

(Changzhi Vocational and Technical College, Changzhi 046011, china)

Aiming at the problem that the control method of virtual local area network (VLAN) is affected by the number of access users in the actual application, resulting in the control accuracy and time-consuming can not meet the expected requirements, the research on IP address access control method of virtual local area network is carried out. Through IP address location, user identification and IP address access control of local area network, an access control method for virtual local area network is proposed. Through comparative experiments, it is proved that the control method proposed in this paper can shorten the control time and promote the overall improvement of the operation efficiency of virtual local area network on the premise of effectively improving the accuracy of access control.

virtual local area network; IP address; access control; user identification

TN391

A

1674-2605(2022)04-0004-04

10.3969/j.issn.1674-2605.2022.04.004

李晉峰.虛擬局域網(wǎng)IP地址訪問(wèn)控制方法研究[J].自動(dòng)化與信息工程,2022,43(4):18-21.

LI Jinfeng. Research on IP address access control method of virtual local area network[J]. Automation & Information Engineering, 2022,43(4):18-21.

李晉峰，男，1974年生，本科，講師，主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用。E-mail: pu57797193@126.com