[go: up one dir, main page]

CN108833435B - 一种网络访问控制方法及装置、网络系统 - Google Patents

一种网络访问控制方法及装置、网络系统 Download PDF

Info

Publication number
CN108833435B
CN108833435B CN201810716306.5A CN201810716306A CN108833435B CN 108833435 B CN108833435 B CN 108833435B CN 201810716306 A CN201810716306 A CN 201810716306A CN 108833435 B CN108833435 B CN 108833435B
Authority
CN
China
Prior art keywords
network
virtual
access control
access
control method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810716306.5A
Other languages
English (en)
Other versions
CN108833435A (zh
Inventor
黄世杰
郭旭亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Yunhai Information Technology Co Ltd
Original Assignee
Zhengzhou Yunhai Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Yunhai Information Technology Co Ltd filed Critical Zhengzhou Yunhai Information Technology Co Ltd
Priority to CN201810716306.5A priority Critical patent/CN108833435B/zh
Publication of CN108833435A publication Critical patent/CN108833435A/zh
Application granted granted Critical
Publication of CN108833435B publication Critical patent/CN108833435B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种网络访问控制方法及装置、网络系统,该网络访问控制方法包括:第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。本实施例提供的方案,通过将两个网络的虚拟IP进行绑定实现对第一网络的访问,无需增加路由器,降低了成本,提高了安全性。

Description

一种网络访问控制方法及装置、网络系统
技术领域
本发明涉及网络技术,尤指一种网络访问控制方法及装置、网络系统。
背景技术
在虚拟化,云计算的场景中,平台的搭建基于三网分离的思想,即管理网络、存储网络和业务网络相互隔离。这种情况下,管理网络中的资源并不能够被其他网络访问。如果系统中有这样的需求,就必须通过路由联通相互隔离的网络。如图1所示,图1中业务网络如果要访问管理网络,需要在管理网络设备和业务网络设备之间添加路由器。这种方式会带来安全风险,增加成本,也不符合三网分离的原则。
发明内容
为了解决上述技术问题,本发明至少一实施例提供了一种网络访问控制方法及装置、网络系统。
为了达到本发明目的,本发明至少一实施例提供了一种网络访问控制方法,包括:
第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;
所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。
本发明至少一实施例提供一种网络访问控制装置,包括:访问控制模块,用于将第一网络中用于对外提供访问入口的第一虚拟IP与第二网络中的第二虚拟IP绑定。
本发明至少一实施例提供一种网络系统,包括第一网络和第二网络,其中:所述第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。
与相关技术相比,本发明至少一实施例中,通过将第一网络的虚拟IP和第二网络的虚拟IP进行绑定,实现对第一网络的访问。本发明至少一实施例提供的方案,不需要增加路由设备,降低了成本,提高了安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为相关技术中网络架构图;
图2为本发明一实施例提供的网络访问控制方法流程图;
图3为本发明一实施例提供的网络访问控制装置框图;
图4为本发明另一实施例提供的网络访问控制方法流程图;
图5为本发明一实施例提供的网络架构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
如图2所示,本发明一实施例提供一种网络访问控制方法,包括:
步骤201,第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;
步骤202,所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。其中,所述绑定是指,第一虚拟IP和第二虚拟IP对应同一节点(即主机)。
本实施例提供的方案,通过将两个网络的虚拟IP进行绑定实现对第一网络的访问,无需增加路由器,降低了成本,提高了安全性。
在一实施例中,所述方法还包括,当所述第一虚拟IP发生漂移时,将所述第二虚拟IP漂移到与所述第一虚拟IP相同的节点。比如,第一虚拟IP对应的节点发生故障,此时,第一虚拟IP漂移到另一节点,此时,需要将第二虚拟IP也漂移到该节点。本实施例提供的方案,能使得发生漂移时第一虚拟IP和第二虚拟IP仍在同一主机,使得第二网络能够继续通过第二虚拟IP访问第一网络。
在一实施例中,所述第一网络和所述第二网络彼此之间为隔离网络。即第一网络和第二网络之间无路由设备。
在一实施例中,所述方法还包括:所述第一网络接收所述第二网络通过第二虚拟IP-主机协议栈-第一虚拟IP路径发送的访问请求。第二网络可以通过该路径实现对第一网络的访问。
在一实施例中,所述第一网络为管理网络,所述第二网络为业务网络。需要说明的是,第一网络也可以是业务网络,第二网络为管理网络。当然,第一网络和第二网络也可以是非云计算、虚拟化场景中的其他网络。
如图3所示,本发明一实施例提供一种网络访问控制装置,包括:访问控制模块301,用于将第一网络中用于对外提供访问入口的第一虚拟IP与第二网络中的第二虚拟IP绑定。
在一实施例中,所述访问控制模块301还用于:当所述第一虚拟IP发生漂移时,将所述第二虚拟IP漂移到与所述第一虚拟IP相同的节点。
在一实施例中,所述网络访问控制装置还包括接收模块302,用于接收所述第二网络通过第二虚拟IP-主机协议栈-第一虚拟IP路径发送的访问请求。
本发明一实施例提供一种网络系统,包括第一网络和第二网络,其中:所述第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。
在一实施例中,所述第二网络用于,通过所述第二虚拟IP-主机协议栈-所述第一虚拟IP的路径向所述第一网络发送访问请求。
以云平台为例,在云平台的搭建中,管理网络的资源如对外服务,存储的镜像资源等,都被纳入管理网中,并分配一个虚拟IP即虚拟IP1对外提供访问入口。此时如果需要在其他网络中,如业务网中访问管理网络中的这些资源,如果不使用路由器连接管理网络与业务网络、存储网络,可以通过为管理网络的虚拟IP1绑定一个业务网络的虚拟IP2,且该虚拟IP2随着管理网络的虚拟IP1漂移,实现虚拟IP2时刻与管理虚拟IP1在同一主机,此时,业务网络通过虚拟IP2和主机协议栈访问管理网虚拟IP1,达到访问管理网资源的目的。
以管理网络和业务网络为例进一步说明本申请。如图4所示,本发明一实施例提供一种网络访问控制方法,包括:
步骤401,在管理网络对外提供服务的主机上添加网卡连接到业务网络,一般数据中心建设中该网卡已存在并连接好。
步骤402,选择一个业务网络的IP地址作为虚拟IP2,该虚拟IP2可以访问业务网络。
步骤403,配置虚拟IP2的浮动策略,与管理网络的虚拟IP1保持一致,即使得虚拟IP2跟随虚拟IP1漂移;
其中,虚拟IP1用于对外提供访问入口,虚拟IP1对应对外提供服务的主机。如图5所示,当管理网络的虚拟IP1发生漂移的时候,从主机501偏移到主机502,虚拟IP2也随之一起漂移到主机502。
步骤404,业务网络需要访问管理网络的资源时,通过配置的虚拟IP2-主机协议栈-虚拟IP1的路径进行访问。
本实施例提供的方案,不需要增加路由器,从而降低了成本,提高了安全性,并且符合三网分离设计原则。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。

Claims (8)

1.一种网络访问控制方法,包括:
第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;
所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定在同一节点;
当所述第一虚拟IP发生漂移时,将所述第二虚拟IP漂移到与所述第一虚拟IP相同的节点。
2.根据权利要求1所述的网络访问控制方法,其特征在于,所述第一网络和所述第二网络彼此之间为隔离网络。
3.根据权利要求1至2任一所述的网络访问控制方法,其特征在于,所述方法还包括:所述第一网络接收所述第二网络通过第二虚拟IP-主机协议栈-第一虚拟IP路径发送的访问请求。
4.根据权利要求1至2任一所述的网络访问控制方法,其特征在于,所述第一网络为管理网络,所述第二网络为业务网络。
5.一种网络访问控制装置,其特征在于,包括:访问控制模块,用于将第一网络中用于对外提供访问入口的第一虚拟IP与第二网络中的第二虚拟IP绑定在同一节点;
所述访问控制模块还用于:当所述第一虚拟IP发生漂移时,将所述第二虚拟IP漂移到与所述第一虚拟IP相同的节点;
第一网络对外提供服务的主机上配置有用于连接第二网络的网卡。
6.根据权利要求5所述的网络访问控制装置,其特征在于,所述网络访问控制装置还包括接收模块,用于接收所述第二网络通过第二虚拟IP-主机协议栈-第一虚拟IP路径发送的访问请求。
7.一种网络系统,其特征在于,包括第一网络和第二网络,其中:所述第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定在同一节点,当所述第一虚拟IP发生漂移时,将所述第二虚拟IP漂移到与所述第一虚拟IP相同的节点。
8.根据权利要求7所述的网络系统,其特征在于,所述第二网络用于,通过所述第二虚拟IP-主机协议栈-所述第一虚拟IP的路径向所述第一网络发送访问请求。
CN201810716306.5A 2018-07-03 2018-07-03 一种网络访问控制方法及装置、网络系统 Active CN108833435B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810716306.5A CN108833435B (zh) 2018-07-03 2018-07-03 一种网络访问控制方法及装置、网络系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810716306.5A CN108833435B (zh) 2018-07-03 2018-07-03 一种网络访问控制方法及装置、网络系统

Publications (2)

Publication Number Publication Date
CN108833435A CN108833435A (zh) 2018-11-16
CN108833435B true CN108833435B (zh) 2021-10-01

Family

ID=64135359

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810716306.5A Active CN108833435B (zh) 2018-07-03 2018-07-03 一种网络访问控制方法及装置、网络系统

Country Status (1)

Country Link
CN (1) CN108833435B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109672567B (zh) * 2019-01-10 2021-10-29 南京极域信息科技有限公司 一种实现网路跟随策略方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101316219A (zh) * 2007-05-31 2008-12-03 富士施乐株式会社 用于控制虚拟网络连接的虚拟网络连接装置、系统和方法
CN103188753A (zh) * 2011-12-27 2013-07-03 中国移动通信集团山东有限公司 基于异构网络之间不同链路进行数据传输的方法及装置
CN105635335A (zh) * 2015-12-30 2016-06-01 浙江宇视科技有限公司 社会资源接入方法、装置及系统
CN105981443A (zh) * 2013-09-30 2016-09-28 施耐德电气工业简易股份公司 云认证的场所资源管理设备、装置、方法和系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102346818B (zh) * 2010-08-02 2014-11-12 南京壹进制信息技术有限公司 一种用软件实现的计算机网络环境隔离系统
CN102546657B (zh) * 2012-02-10 2015-02-11 浙江宇视科技有限公司 Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点
CN103379184B (zh) * 2012-04-23 2016-03-16 深圳市腾讯计算机系统有限公司 网络业务访问的方法及系统
CN103873450B (zh) * 2012-12-18 2017-11-24 中国电信股份有限公司 网络接入方法与系统
CN103746997A (zh) * 2014-01-10 2014-04-23 浪潮电子信息产业股份有限公司 一种云计算中心网络安全解决方案
CN103856352A (zh) * 2014-02-20 2014-06-11 福建升腾资讯有限公司 一种基于单网卡实现双网络跨网段访问的方法
CN107317792B (zh) * 2016-03-30 2020-10-30 阿里巴巴集团控股有限公司 一种实现虚拟专有网络中访问控制的方法与设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101316219A (zh) * 2007-05-31 2008-12-03 富士施乐株式会社 用于控制虚拟网络连接的虚拟网络连接装置、系统和方法
CN103188753A (zh) * 2011-12-27 2013-07-03 中国移动通信集团山东有限公司 基于异构网络之间不同链路进行数据传输的方法及装置
CN105981443A (zh) * 2013-09-30 2016-09-28 施耐德电气工业简易股份公司 云认证的场所资源管理设备、装置、方法和系统
CN105635335A (zh) * 2015-12-30 2016-06-01 浙江宇视科技有限公司 社会资源接入方法、装置及系统

Also Published As

Publication number Publication date
CN108833435A (zh) 2018-11-16

Similar Documents

Publication Publication Date Title
US11863625B2 (en) Routing messages between cloud service providers
US10397352B2 (en) Network infrastructure management
US11895081B2 (en) Distributed network address translation over network environments
CN107070717B (zh) 一种跨主机的Docker容器通讯的方法
US12106132B2 (en) Provider network service extensions
CN112350918B (zh) 一种业务流量调度方法、装置、设备及存储介质
CN111694519B (zh) 一种裸金属服务器挂载云硬盘的方法、系统及服务器
CN113965505A (zh) 不同虚拟私有网络之间云主机互通的方法及实现架构
CN113315706B (zh) 私有云流量控制方法、设备及系统
CN112368979A (zh) 具有交换结构的多站点互连和策略
US20240098088A1 (en) Resource allocation for virtual private label clouds
CN106685860B (zh) 网络虚拟化方法及设备
US20160226778A1 (en) Packet i/o support for a logical switch router architecture
CN108462683B (zh) 认证方法和装置
US20180248952A1 (en) Protocol independent storage discovery and enablement
CN108833435B (zh) 一种网络访问控制方法及装置、网络系统
US11108594B2 (en) Implementing three-layer communication
CN112351050A (zh) 镜像数据流的方法、装置、通信设备及存储介质
CN113839949B (zh) 一种访问权限管控系统、方法、芯片及电子设备
CN113472799B (zh) 一种基于云平台的互联管理方法、装置及设备
WO2020199780A1 (zh) 一种流量采集方法、装置、网络设备及存储介质
WO2017215483A1 (zh) 一种组网系统、网络共享方法和系统
US20240244081A1 (en) Protocol Switching and Secure Sockets Layer (SSL) Cross-Wiring to Enable Inter-Network Resource Connectivity
CN114579338B (zh) 双机分布式仲裁系统及其仲裁方法
WO2024078427A1 (zh) 一种无服务器函数配置系统、方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant