[发明专利]阻止主机访问网络设备的方法及阻断服务器

说明书

技术领域

本发明涉及网络通信技术领域，特别涉及一种阻止主机访问网络设备的方法及一种阻断服务器。

背景技术

ARP(Address Resolution Protocol，地址解析协议)是一种网络层协议，它的主要功能是在MAC地址(物理层地址)和IP地址(网络层地址)之间建立映射。如果主机A要给主机B发送数据，且主机A只知道主机B的IP地址，则主机A必须首先查找主机B的MAC地址，因此主机A发送一个包含主机B的IP地址的ARP广播用来请求主机B的MAC地址，主机B收到该ARP广播后，向主机A返回包含主机B的MAC地址的ARP应答包。网络中的每个主机都有一个ARP高速缓存用来存储已知主机的IP地址和MAC地址的映射关系表，因此网络中的主机并不需要在每次发送数据时都发送ARP广播，而是优先查找ARP高速缓存中存储的地址映射关系表，以此减少网络中的ARP广播。因此，通常主机在发送一个IP包之前，它先要到地址映射关系表中寻找和IP包对应的硬件MAC地址，如果没有找到，该主机就发送一个ARP广播包，刷新自己的ARP高速缓存，然后再发出IP包。

在阻止主机访问网络时，通常采用ARP欺骗技术。例如，为了阻断主机A与主机B之间的通信，实施ARP欺骗的阻断服务器会主动向主机A发送包含主机B的错误MAC地址的ARP应答包，以此更新主机A的ARP高速缓存，当主机A要与主机B通信而查询其ARP高速缓存时，将得到主机B的错误MAC地址，从而导致主机A会与主机B通信失败。由于ARP是TCP/IP(Transmission Control Protocol/Internet Protocol，传输控制/网际协议)协议族中的第二层协议，因此包括ARP广播等在内的相关ARP数据包只能在单个VLAN内发送，而无法越过第三层，即IP层来实现子网问的跨越，由此可知当前网段内的阻断服务器无法阻止其它网段内的主机访问网络。

现有技术中实现阻断服务器跨VLAN阻止主机访问网络设备的示意图如图1所示，图1中每个VLAN由其所属的上层交换机进行管理，通常从这些上层交换机内引出一条线路集中到一台集线器上，该集线器与阻断服务器相连，集线器通过广播的方式与各个交换机所管理的VLAN通信，当阻断服务器发送ARP数据包时，该ARP数据包将通过集线器的广播传送至各个VLAN内，由此实现该阻断服务器对各VLAN内的主机进行ARP欺骗的目的。但是，由于现有网络均为大型网络，大型网络中包含了众多的VLAN(Virtual LocalArea Network，虚拟局域网)，管理各个VLAN的不同交换机之间的物理距离遥远，因此通过集线器的方式将各个VLAN连接起来的实现方式过于复杂，由于需要在该集线器和各个VLAN所属的上层交换机之间设置相当长的连接线路，因此可操作性不高。

发明内容

本发明的目的在于提供一种阻止主机访问网络设备的方法，以解决现有技术中阻止主机访问网络设备的方法过于复杂的问题。

本发明的另一目的在于提供一种阻止主机访问网络设备的阻断服务器，以解决现有技术中的阻断服务器在阻断主机访问网络时过于复杂的问题。

为解决上述技术问题，本发明提供如下技术方案：

一种阻止主机访问网络设备的方法，包括：

在阻断服务器上的物理网口上配置对应多个虚拟局域网VLAN的多个虚拟网口；

针对所述阻断服务器的虚拟网口，获得与目的主机子网地址一致的虚拟网口子网地址；

在所述阻断服务器与目的主机的传输链路上所路经的各交换机上启动TRUNK协议或实施TRUNK技术；

所述阻断服务器通过TRUNK协议将阻断数据包从所获得的虚拟网口子网地址对应的虚拟网口发送至所述目的主机。

所述在阻断服务器上配置多个VLAN的虚拟网口具体为：

阻断服务器为每个VLAN的虚拟网口配置一个IP地址及该IP地址对应的子网掩码，将所述IP地址及该IP地址对应的子网掩码逻辑与得到对应VLAN的虚拟网口的子网地址。

按照下述步骤，所述阻断服务器获得与目的主机子网地址一致的虚拟网口子网地址：

阻断服务器分别计算目的主机的子网地址及其每个虚拟网口的子网地址；

比较所述目的主机的子网地址与所述每个虚拟网口的子网地址；

确定与所述目的主机子网地址一致的虚拟网口的子网地址。

所述阻断服务器计算目的主机的子网地址及每个虚拟网口的子网地址具体为：