CN108833435A - 一种网络访问控制方法及装置、网络系统 - Google Patents
一种网络访问控制方法及装置、网络系统 Download PDFInfo
- Publication number
- CN108833435A CN108833435A CN201810716306.5A CN201810716306A CN108833435A CN 108833435 A CN108833435 A CN 108833435A CN 201810716306 A CN201810716306 A CN 201810716306A CN 108833435 A CN108833435 A CN 108833435A
- Authority
- CN
- China
- Prior art keywords
- network
- virtual
- address
- access control
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络访问控制方法及装置、网络系统,该网络访问控制方法包括:第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。本实施例提供的方案,通过将两个网络的虚拟IP进行绑定实现对第一网络的访问,无需增加路由器,降低了成本,提高了安全性。
Description
技术领域
本发明涉及网络技术,尤指一种网络访问控制方法及装置、网络系统。
背景技术
在虚拟化,云计算的场景中,平台的搭建基于三网分离的思想,即管理网络、存储网络和业务网络相互隔离。这种情况下,管理网络中的资源并不能够被其他网络访问。如果系统中有这样的需求,就必须通过路由联通相互隔离的网络。如图1所示,图1中业务网络如果要访问管理网络,需要在管理网络设备和业务网络设备之间添加路由器。这种方式会带来安全风险,增加成本,也不符合三网分离的原则。
发明内容
为了解决上述技术问题,本发明至少一实施例提供了一种网络访问控制方法及装置、网络系统。
为了达到本发明目的,本发明至少一实施例提供了一种网络访问控制方法,包括:
第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;
所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。
本发明至少一实施例提供一种网络访问控制装置,包括:访问控制模块,用于将第一网络中用于对外提供访问入口的第一虚拟IP与第二网络中的第二虚拟IP绑定。
本发明至少一实施例提供一种网络系统,包括第一网络和第二网络,其中:所述第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。
与相关技术相比,本发明至少一实施例中,通过将第一网络的虚拟IP和第二网络的虚拟IP进行绑定,实现对第一网络的访问。本发明至少一实施例提供的方案,不需要增加路由设备,降低了成本,提高了安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为相关技术中网络架构图;
图2为本发明一实施例提供的网络访问控制方法流程图;
图3为本发明一实施例提供的网络访问控制装置框图;
图4为本发明另一实施例提供的网络访问控制方法流程图;
图5为本发明一实施例提供的网络架构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
如图2所示,本发明一实施例提供一种网络访问控制方法,包括:
步骤201,第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;
步骤202,所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。其中,所述绑定是指,第一虚拟IP和第二虚拟IP对应同一节点(即主机)。
本实施例提供的方案,通过将两个网络的虚拟IP进行绑定实现对第一网络的访问,无需增加路由器,降低了成本,提高了安全性。
在一实施例中,所述方法还包括,当所述第一虚拟IP发生漂移时,将所述第二虚拟IP漂移到与所述第一虚拟IP相同的节点。比如,第一虚拟IP对应的节点发生故障,此时,第一虚拟IP漂移到另一节点,此时,需要将第二虚拟IP也漂移到该节点。本实施例提供的方案,能使得发生漂移时第一虚拟IP和第二虚拟IP仍在同一主机,使得第二网络能够继续通过第二虚拟IP访问第一网络。
在一实施例中,所述第一网络和所述第二网络彼此之间为隔离网络。即第一网络和第二网络之间无路由设备。
在一实施例中,所述方法还包括:所述第一网络接收所述第二网络通过第二虚拟IP-主机协议栈-第一虚拟IP路径发送的访问请求。第二网络可以通过该路径实现对第一网络的访问。
在一实施例中,所述第一网络为管理网络,所述第二网络为业务网络。需要说明的是,第一网络也可以是业务网络,第二网络为管理网络。当然,第一网络和第二网络也可以是非云计算、虚拟化场景中的其他网络。
如图3所示,本发明一实施例提供一种网络访问控制装置,包括:访问控制模块301,用于将第一网络中用于对外提供访问入口的第一虚拟IP与第二网络中的第二虚拟IP绑定。
在一实施例中,所述访问控制模块301还用于:当所述第一虚拟IP发生漂移时,将所述第二虚拟IP漂移到与所述第一虚拟IP相同的节点。
在一实施例中,所述网络访问控制装置还包括接收模块302,用于接收所述第二网络通过第二虚拟IP-主机协议栈-第一虚拟IP路径发送的访问请求。
本发明一实施例提供一种网络系统,包括第一网络和第二网络,其中:所述第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。
在一实施例中,所述第二网络用于,通过所述第二虚拟IP-主机协议栈-所述第一虚拟IP的路径向所述第一网络发送访问请求。
以云平台为例,在云平台的搭建中,管理网络的资源如对外服务,存储的镜像资源等,都被纳入管理网中,并分配一个虚拟IP即虚拟IP1对外提供访问入口。此时如果需要在其他网络中,如业务网中访问管理网络中的这些资源,如果不使用路由器连接管理网络与业务网络、存储网络,可以通过为管理网络的虚拟IP1绑定一个业务网络的虚拟IP2,且该虚拟IP2随着管理网络的虚拟IP1漂移,实现虚拟IP2时刻与管理虚拟IP1在同一主机,此时,业务网络通过虚拟IP2和主机协议栈访问管理网虚拟IP1,达到访问管理网资源的目的。
以管理网络和业务网络为例进一步说明本申请。如图4所示,本发明一实施例提供一种网络访问控制方法,包括:
步骤401,在管理网络对外提供服务的主机上添加网卡连接到业务网络,一般数据中心建设中该网卡已存在并连接好。
步骤402,选择一个业务网络的IP地址作为虚拟IP2,该虚拟IP2可以访问业务网络。
步骤403,配置虚拟IP2的浮动策略,与管理网络的虚拟IP1保持一致,即使得虚拟IP2跟随虚拟IP1漂移;
其中,虚拟IP1用于对外提供访问入口,虚拟IP1对应对外提供服务的主机。如图5所示,当管理网络的虚拟IP1发生漂移的时候,从主机501偏移到主机502,虚拟IP2也随之一起漂移到主机502。
步骤404,业务网络需要访问管理网络的资源时,通过配置的虚拟IP2-主机协议栈-虚拟IP1的路径进行访问。
本实施例提供的方案,不需要增加路由器,从而降低了成本,提高了安全性,并且符合三网分离设计原则。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
Claims (10)
1.一种网络访问控制方法,包括:
第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;
所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。
2.根据权利要求1所述的网络访问控制方法,其特征在于,所述方法还包括,当所述第一虚拟IP发生漂移时,将所述第二虚拟IP漂移到与所述第一虚拟IP相同的节点。
3.根据权利要求1所述的网络访问控制方法,其特征在于,所述第一网络和所述第二网络彼此之间为隔离网络。
4.根据权利要求1至3任一所述的网络访问控制方法,其特征在于,所述方法还包括:所述第一网络接收所述第二网络通过第二虚拟IP-主机协议栈-第一虚拟IP路径发送的访问请求。
5.根据权利要求1至3任一所述的网络访问控制方法,其特征在于,所述第一网络为管理网络,所述第二网络为业务网络。
6.一种网络访问控制装置,其特征在于,包括:访问控制模块,用于将第一网络中用于对外提供访问入口的第一虚拟IP与第二网络中的第二虚拟IP绑定。
7.根据权利要求6所述的网络访问控制装置,其特征在于,所述访问控制模块还用于:当所述第一虚拟IP发生漂移时,将所述第二虚拟IP漂移到与所述第一虚拟IP相同的节点。
8.根据权利要求6或7所述的网络访问控制装置,其特征在于,所述网络访问控制装置还包括接收模块,用于接收所述第二网络通过第二虚拟IP-主机协议栈-第一虚拟IP路径发送的访问请求。
9.一种网络系统,其特征在于,包括第一网络和第二网络,其中:所述第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。
10.根据权利要求9所述的网络系统,其特征在于,所述第二网络用于,通过所述第二虚拟IP-主机协议栈-所述第一虚拟IP的路径向所述第一网络发送访问请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810716306.5A CN108833435B (zh) | 2018-07-03 | 2018-07-03 | 一种网络访问控制方法及装置、网络系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810716306.5A CN108833435B (zh) | 2018-07-03 | 2018-07-03 | 一种网络访问控制方法及装置、网络系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108833435A true CN108833435A (zh) | 2018-11-16 |
CN108833435B CN108833435B (zh) | 2021-10-01 |
Family
ID=64135359
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810716306.5A Active CN108833435B (zh) | 2018-07-03 | 2018-07-03 | 一种网络访问控制方法及装置、网络系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108833435B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109672567A (zh) * | 2019-01-10 | 2019-04-23 | 南京极域信息科技有限公司 | 一种实现网路跟随策略方法 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101316219A (zh) * | 2007-05-31 | 2008-12-03 | 富士施乐株式会社 | 用于控制虚拟网络连接的虚拟网络连接装置、系统和方法 |
CN102346818A (zh) * | 2010-08-02 | 2012-02-08 | 南京壹进制信息技术有限公司 | 一种用软件实现的计算机网络环境隔离系统 |
CN102546657A (zh) * | 2012-02-10 | 2012-07-04 | 浙江宇视科技有限公司 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
CN103188753A (zh) * | 2011-12-27 | 2013-07-03 | 中国移动通信集团山东有限公司 | 基于异构网络之间不同链路进行数据传输的方法及装置 |
CN103746997A (zh) * | 2014-01-10 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种云计算中心网络安全解决方案 |
CN103856352A (zh) * | 2014-02-20 | 2014-06-11 | 福建升腾资讯有限公司 | 一种基于单网卡实现双网络跨网段访问的方法 |
CN103873450A (zh) * | 2012-12-18 | 2014-06-18 | 中国电信股份有限公司 | 网络接入方法与系统 |
US20150039762A1 (en) * | 2012-04-23 | 2015-02-05 | Tencent Technology (Shenzhen) Company Limited | Method and system for accessing network service |
CN105635335A (zh) * | 2015-12-30 | 2016-06-01 | 浙江宇视科技有限公司 | 社会资源接入方法、装置及系统 |
CN105981443A (zh) * | 2013-09-30 | 2016-09-28 | 施耐德电气工业简易股份公司 | 云认证的场所资源管理设备、装置、方法和系统 |
CN107317792A (zh) * | 2016-03-30 | 2017-11-03 | 阿里巴巴集团控股有限公司 | 一种实现虚拟专有网络中访问控制的方法与设备 |
-
2018
- 2018-07-03 CN CN201810716306.5A patent/CN108833435B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101316219A (zh) * | 2007-05-31 | 2008-12-03 | 富士施乐株式会社 | 用于控制虚拟网络连接的虚拟网络连接装置、系统和方法 |
CN102346818A (zh) * | 2010-08-02 | 2012-02-08 | 南京壹进制信息技术有限公司 | 一种用软件实现的计算机网络环境隔离系统 |
CN103188753A (zh) * | 2011-12-27 | 2013-07-03 | 中国移动通信集团山东有限公司 | 基于异构网络之间不同链路进行数据传输的方法及装置 |
CN102546657A (zh) * | 2012-02-10 | 2012-07-04 | 浙江宇视科技有限公司 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
US20150039762A1 (en) * | 2012-04-23 | 2015-02-05 | Tencent Technology (Shenzhen) Company Limited | Method and system for accessing network service |
CN103873450A (zh) * | 2012-12-18 | 2014-06-18 | 中国电信股份有限公司 | 网络接入方法与系统 |
CN105981443A (zh) * | 2013-09-30 | 2016-09-28 | 施耐德电气工业简易股份公司 | 云认证的场所资源管理设备、装置、方法和系统 |
CN103746997A (zh) * | 2014-01-10 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种云计算中心网络安全解决方案 |
CN103856352A (zh) * | 2014-02-20 | 2014-06-11 | 福建升腾资讯有限公司 | 一种基于单网卡实现双网络跨网段访问的方法 |
CN105635335A (zh) * | 2015-12-30 | 2016-06-01 | 浙江宇视科技有限公司 | 社会资源接入方法、装置及系统 |
CN107317792A (zh) * | 2016-03-30 | 2017-11-03 | 阿里巴巴集团控股有限公司 | 一种实现虚拟专有网络中访问控制的方法与设备 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109672567A (zh) * | 2019-01-10 | 2019-04-23 | 南京极域信息科技有限公司 | 一种实现网路跟随策略方法 |
CN109672567B (zh) * | 2019-01-10 | 2021-10-29 | 南京极域信息科技有限公司 | 一种实现网路跟随策略方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108833435B (zh) | 2021-10-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9965317B2 (en) | Location-aware virtual service provisioning in a hybrid cloud environment | |
CN107342895B (zh) | 一种多租户的网络优化方法、系统、计算设备及存储介质 | |
EP2949087B1 (en) | Multi-node virtual switching system | |
WO2016029821A1 (zh) | 一种虚拟网络实例的创建方法以及设备 | |
WO2017215071A1 (en) | Modular telecommunication edge cloud system | |
CN109981613B (zh) | 一种用于云环境的流量检测方法与资源池系统 | |
US10942729B2 (en) | Upgrade of firmware in an interface hardware of a device in association with the upgrade of driver software for the device | |
US11457096B2 (en) | Application based egress interface selection | |
CN109525515B (zh) | 一种云平台中网卡的管理方法和装置 | |
CN109753346A (zh) | 一种虚拟机热迁移方法及装置 | |
US9417997B1 (en) | Automated policy based scheduling and placement of storage resources | |
CN106685860B (zh) | 网络虚拟化方法及设备 | |
CN114650223B (zh) | 一种Kubernetes集群的网络配置方法、装置及电子设备 | |
CN108833435A (zh) | 一种网络访问控制方法及装置、网络系统 | |
CN109951353B (zh) | 一种云平台流量检测方法与资源池系统 | |
CN115913778A (zh) | 一种基于边车模式的网络策略更新方法、系统及存储介质 | |
US11949557B2 (en) | Device, method, and program for ICT resource management using service management information | |
CN111786843B (zh) | 一种流量采集方法、装置、网络设备及存储介质 | |
CN109218415A (zh) | 一种分布式节点管理的方法、节点及存储介质 | |
WO2017215483A1 (zh) | 一种组网系统、网络共享方法和系统 | |
CN117499318B (zh) | 云计算虚拟网络系统、及其使用方法、装置、设备及介质 | |
US20240098088A1 (en) | Resource allocation for virtual private label clouds | |
US20240056335A1 (en) | Multiple top-of-rack (tor) switches connected to a network virtualization device | |
CN116055312A (zh) | 虚拟化平台的融合方法、装置、设备及存储介质 | |
KR102554413B1 (ko) | 노드 장치, 상기 노드 장치의 패킷을 처리하는 방법 및 상기 노드 장치의 패킷 처리와 관련된 제어 정보를 관리하는 제어 장치를 포함하는 네트워크 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |