李晉峰

學(xué)術(shù)研究

虛擬局域網(wǎng)IP地址訪問控制方法研究

李晉峰

（長治職業(yè)技術(shù)學(xué)院，山西 長治 046011）

針對當(dāng)前虛擬局域網(wǎng)的控制方法在實際應(yīng)用中受訪問用戶數(shù)量的影響，導(dǎo)致控制準確率和耗時無法達到預(yù)期要求的問題，開展虛擬局域網(wǎng)IP地址訪問控制方法研究。通過局域網(wǎng)IP地址定位、用戶身份識別和IP地址訪問控制，提出一種針對虛擬局域網(wǎng)的訪問控制方法。通過對比實驗證明，本文提出的控制方法在有效提高訪問控制準確率的前提下，可縮短控制耗時，促進虛擬局域網(wǎng)運行效率的全面提升。

虛擬局域網(wǎng)；IP地址；訪問控制；用戶身份識別

0 引言

隨著通信及互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)無論是速度，還是規(guī)模都得到較大提升；同時，網(wǎng)絡(luò)中的資源種類和數(shù)量不斷增加，相應(yīng)的IP地址數(shù)量也不斷增加[1-2]。在網(wǎng)絡(luò)運行過程中，經(jīng)常性的網(wǎng)絡(luò)調(diào)整和變動，也使IP地址在管理上更加復(fù)雜。與互聯(lián)網(wǎng)環(huán)境相比，虛擬局域網(wǎng)中的IP地址數(shù)量盡管相對較少，但仍然存在管理困難的問題[3]。在虛擬局域網(wǎng)中，每臺主機都需要局域網(wǎng)提供一個唯一的IP地址才能與互聯(lián)網(wǎng)連通；同時，為了確保虛擬局域網(wǎng)正常運行以及內(nèi)部資源安全，針對不同的IP地址訪問進行控制具有十分重要的現(xiàn)實意義[4-5]。通過合理的訪問控制可有效預(yù)防資源越權(quán)使用問題的產(chǎn)生。為此，本文開展虛擬局域網(wǎng)IP地址訪問控制方法研究，進一步提高虛擬局域網(wǎng)的安全運行。

1 虛擬局域網(wǎng)IP地址訪問控制方法

1.1 局域網(wǎng)IP地址定位

為實現(xiàn)IP地址訪問虛擬局域網(wǎng)的控制，首先需確定虛擬局域網(wǎng)中某臺IP地址已知的設(shè)備所連接的交換機以及相應(yīng)端口，達到對其定位的目的[6-7]。在定位過程中，可引入分析方法。虛擬局域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)示意圖如圖1所示。

圖1 虛擬局域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)示意圖

圖1所示的虛擬局域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)由1臺服務(wù)器、2臺交換機、2臺計算機組成。其中，2臺交換機分別對應(yīng)2個路由端口，2臺計算機分別對應(yīng)2個PC端口。利用分析方法，找出計算機與其直接連接的交換機端口，即可實現(xiàn)對局域網(wǎng)IP地址定位。在虛擬局域網(wǎng)中，找出ARP緩存列表，確定IP地址。由于ARP在實際應(yīng)用中無法跨VLAN運行，因此選擇MSFC作為連接方式。在局域網(wǎng)中，利用VLAN端口對ARP正確解釋，并通過路由交換機完成指令的識別與執(zhí)行[8-9]。完成指令輸入后，在顯示窗口中IP地址若能夠與對應(yīng)的Router設(shè)備相連接，即可實現(xiàn)交換機位置的定位和識別。如識別出交換機位置，則停止定位，直接將定位結(jié)果輸出；如未識別出交換機位置，則需要重復(fù)上述步驟繼續(xù)追查，直到找出不是交換機的定位結(jié)果，以此實現(xiàn)局域網(wǎng)IP地址的定位。

1.2 用戶身份識別

局域網(wǎng)IP地址定位完成后，對訪問虛擬局域網(wǎng)的用戶身份進行識別。識別前，需對大量用戶進行初次“海選”。將相似用戶匯總到一個相似用戶集中，在確保訪問效率的基礎(chǔ)上，將相似用戶范圍盡可能縮小。用戶間相似性的量化利用公式(1)計算：

式中：

在此基礎(chǔ)上，用戶身份識別的具體步驟為：

第一步，在識別前，獲取訪問用戶的真實基本信息和網(wǎng)絡(luò)基本信息；

第二步，對能代表用戶屬性的身份信息進行格式化處理。通過公式(1)初步劃分的相似用戶集，僅代表用戶訪問IP地址行為的相似度。在身份識別過程中，不具備代表性，還需對用戶身份與局域網(wǎng)中設(shè)定的用戶身份訪問類型共有屬性相似度進行計算，計算公式為

式中：

1.3 IP地址訪問控制

實現(xiàn)用戶身份識別后，對IP地址訪問進行控制。首先，明確控制的3個要素為：主體（發(fā)出訪問操作的用戶）、客體（被訪問的對象，如程序、進程、數(shù)據(jù)等）、授權(quán)策略（一套完整訪問規(guī)則）。從數(shù)學(xué)角度對授權(quán)策略進行分析，將其看作一個矩陣，矩陣中的每一行看作一個主體，每一列看作一個客體，行與列的交點為訪問節(jié)點。在控制過程中，引入網(wǎng)絡(luò)分段和虛擬網(wǎng)絡(luò)技術(shù)控制虛擬局域網(wǎng)用戶完成訪問，確保用戶能夠在局域網(wǎng)中合法獲取所需資源，同時又能夠限制其他用戶對該用戶私有資源的訪問，以此提高局域網(wǎng)訪問的安全性。

在實際應(yīng)用中，確定主體用戶身份信息后，針對主體用戶整個訪問過程繼續(xù)進行控制。訪問控制包含用戶身份認證、用戶授權(quán)控制2方面。其中，用戶授權(quán)控制可看作是對主體和客體的控制。根據(jù)不同的授權(quán)策略，共包含4種類型的集中控制方式：第一種，自主訪問類型；第二種，強制訪問類型；第三種，基于角色的訪問類型；第四種，基于任務(wù)的訪問類型。針對IP地址訪問的有效控制可促進用戶信息完整性和機密性的提升。在控制過程中，還需要對授權(quán)頒發(fā)是否影響網(wǎng)絡(luò)可用性指令，是否能夠獲取拒絕服務(wù)攻擊信息等進行判斷。

2 仿真實驗設(shè)計

為進一步驗證IP地址訪問控制方法的實際應(yīng)用效果，選擇傳統(tǒng)基于路由器訪問控制列表的控制方法作為對照組，將其應(yīng)用時的參數(shù)設(shè)定作為對照條件，本文控制方法作為實驗組，開展對比實驗。

實驗在某校園虛擬局域網(wǎng)環(huán)境進行，選擇控制準確率以及控制耗時為評價指標，對兩組控制方法進行綜合評價。該校園虛擬局域網(wǎng)包含教師身份訪問、學(xué)生身份訪問、校內(nèi)身份訪問（除教師和學(xué)生身份以外的用戶，如學(xué)校管理員、輔導(dǎo)員等）、校外身份訪問4種訪問類型。4種訪問類型對應(yīng)4個訪問通道，隨機選擇1 000名實驗志愿者作為訪問用戶，根據(jù)4種訪問類型進行隨機劃分，在不知道具體劃分情況的前提下，利用兩組訪問控制方法對其進行控制，對比其訪問結(jié)果。

2.1 控制準確率比較

為實現(xiàn)實驗組和對照組控制準確率的對比，按公式(3)對控制結(jié)果參數(shù)進行計算：

式中：

根據(jù)公式(3)，計算實驗組和對照組2種控制方法的準確率，實驗結(jié)果如表1所示。

表1 實驗組與對照組控制方法準確率結(jié)果對比表

由表1可以看出，實驗組的控制準確率均超過95.00%；而對照組最高控制準確率69.23%出現(xiàn)在用戶訪問數(shù)量為200名時，并且隨著用戶訪問數(shù)量增加，對照組控制準確率呈現(xiàn)明顯下降趨勢。由此可知，實驗組控制方法的準確率更高，且不受用戶訪問數(shù)量的影響。

2.2 控制耗時比較

以上述實驗內(nèi)容為基礎(chǔ)，對2種控制方法的IP地址訪問控制耗時進行對比[10]。從IP地址訪問開始，到本文控制方法為其自動分配訪問通道實現(xiàn)訪問為止的時間為控制耗時，2種控制方法的耗時記錄如圖2所示。

圖2 實驗組與對照組控制耗時比較圖

由圖2可以看出，實驗組的控制耗時最高為68.32 ms，對照組的控制耗時最高為98.32 ms；在用戶訪問數(shù)量相同的情況下，實驗組的控制耗時均小于對照組。因此，通過實驗進一步證明，實驗組的控制方法控制耗時更短，控制效率更高。

綜合上述2組實驗結(jié)果得出，本文提出的控制方法在真實虛擬局域網(wǎng)運行環(huán)境中，在保證控制準確率的前提條件下，可提高控制效率。

3 結(jié)論

本文提出一種面向虛擬局域網(wǎng)的訪問控制方法，并通過對比實驗，從控制準確率和控制耗時2方面驗證了本文控制方法的可行性和優(yōu)勢。在今后的研究中，還將充分利用虛擬局域網(wǎng)中交換機在定位網(wǎng)絡(luò)設(shè)備中的應(yīng)用優(yōu)勢，開展更加深入的訪問控制研究；利用其實現(xiàn)對網(wǎng)絡(luò)故障的快速排查，進一步提高虛擬局域網(wǎng)運行環(huán)境安全性。

[1] 王貴.路由器訪問控制列表在計算機局域網(wǎng)網(wǎng)絡(luò)安全中的應(yīng)用[J].電子世界,2021(19):174-175.

[2] 李倩.網(wǎng)絡(luò)安全多層面聯(lián)動主動防御體系的研究與應(yīng)用[J].自動化與信息工程,2019,40(4):20-24.

[3] 尹虹,田濤.基于無證書公鑰密碼的鐵路通信網(wǎng)訪問控制方案研究[J].鐵路計算機應(yīng)用,2020,29(8):48-51.

[4] 古麗色曼爾·艾尼瓦爾.淺談辦公局域網(wǎng)中心控制機房設(shè)備管理與維護[J].電腦知識與技術(shù),2020,16(17):54-55.

[5] 余愛民,賴聲禮,陳荷,等.無線局域網(wǎng)信息安全主流技術(shù)的探討[J].機電工程技術(shù),2003,32(5):18-19,22.

[6] 王燁,夏長春,匡興紅.水下機器人的設(shè)計與CSMA/CD局域網(wǎng)控制系統(tǒng)的研究[J].制造業(yè)自動化,2021,43(8):22-28,51.

[7] 刁海平.考慮需求響應(yīng)的電力負荷自動調(diào)度方法[J].自動化應(yīng)用,2021(11):111-112.

[8] 牛玉坤,魏凌波,張馳,等.基于比特幣區(qū)塊鏈的公共無線局域網(wǎng)接入控制隱私保護研究[J].網(wǎng)絡(luò)與信息安全學(xué)報,2020,6 (2):56-66.

[9] 梁雪青,杜舒明,劉超,等.基于數(shù)據(jù)挖掘的電力數(shù)據(jù)調(diào)度傳輸方法[J].數(shù)字技術(shù)與應(yīng)用,2021,39(12):77-79.

[10] 高靜晗.基于AutoCAD的室內(nèi)建筑裝飾布局設(shè)計研究[J].信息與電腦(理論版),2021,33(12):35-37.

Research on IP Address Access Control Method of Virtual Local Area Network

LI Jinfeng

(Changzhi Vocational and Technical College, Changzhi 046011, china)

Aiming at the problem that the control method of virtual local area network (VLAN) is affected by the number of access users in the actual application, resulting in the control accuracy and time-consuming can not meet the expected requirements, the research on IP address access control method of virtual local area network is carried out. Through IP address location, user identification and IP address access control of local area network, an access control method for virtual local area network is proposed. Through comparative experiments, it is proved that the control method proposed in this paper can shorten the control time and promote the overall improvement of the operation efficiency of virtual local area network on the premise of effectively improving the accuracy of access control.

virtual local area network; IP address; access control; user identification

TN391

A

1674-2605(2022)04-0004-04

10.3969/j.issn.1674-2605.2022.04.004

李晉峰.虛擬局域網(wǎng)IP地址訪問控制方法研究[J].自動化與信息工程,2022,43(4):18-21.

LI Jinfeng. Research on IP address access control method of virtual local area network[J]. Automation & Information Engineering, 2022,43(4):18-21.

李晉峰，男，1974年生，本科，講師，主要研究方向：計算機網(wǎng)絡(luò)應(yīng)用。E-mail: pu57797193@126.com