本发明专利技术提供了一种堡垒机出口链路优化系统及方法,其中的系统包括堡垒机及出口集群;所述出口集群包括互为邻居的多个出口服务器,所述多个出口服务器分布在不同运营商中,且每个出口服务器配置有本运营商所有的运营商服务器地址;所述堡垒机通过所述出口服务器所配置有的运营商服务器地址,登录运营商服务器。本发明专利技术可提高堡垒机的安全性和工作效率。
【技术实现步骤摘要】
堡垒机出口链路优化系统及方法
本专利技术涉及互联网
,特别是涉及一种堡垒机出口链路优化系统及方法。
技术介绍
为了对海量服务器远程登录进行集中管理,众多企业均使用了堡垒机。堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。堡垒机部署在机房内部,在办公室的操作人员需要登录堡垒机才能够访问生产环境的服务器。堡垒机能够对操作人员进行权限控制及记录其操作。如果操作人员存在误操作、违规操作导致操作事故,堡垒机可以快速定位原因与责任人。目前堡垒机登录运营商服务器方法是从堡垒机本机直接登录。在以上登录方法中,存在技术缺陷:第一,由于部分运营商服务器处在没有内网的外网中,堡垒机需要一个外网ip,才能够由堡垒机登录这些服务器。堡垒机存在一个外网ip,处于公网的任何人都可以嗅探出这个堡垒机的存在,如果堡垒机的操作系统或应用软件存在漏洞,黑客就可以直接攻击到堡垒机,一旦堡垒机遭到入侵,堡垒机下的服务器将受到极大的安全威胁。第二,海量运营商服务器处于全国各个省市、各个运营商内,堡垒机只有一个内网出口和一个外网出口,在链路上没有任何优化。举例,如果堡垒机在联通网络内部,生产服务器在教育网内部,这时将会出现联通访问教育网,将会出现连接缓慢或者连接失败,造成工作效率的降低。
技术实现思路
为了提高堡垒机的安全性和工作效率,本专利技术实施例提供一种堡垒机出口链路优化系统及方法。根据本专利技术一个方面,提供一种堡垒机出口链路优化系统,包括:堡垒机及出口集群;所述出口集群包括互为邻居的多个出口服务器,所述多个出口服务器分布在不同运营商中,且每个出口服务器配置有本运营商所有的运营商服务器地址;所述堡垒机通过所述出口服务器所具有的运营商服务器地址,登录运营商服务器。优选的,述堡垒机与所述出口服务器之间建立隧道互联。优选的,所述堡垒机设置第一出口服务器为默认网关,从而建立所述堡垒机与所述第一出口服务器的链路连接;所述第一出口服务器与其他出口服务器运行相同的路由协议并互相建立为邻居。优选的,所述堡垒机具体用于,使用iptunnel命令增加GRE模式虚拟网卡,并注明远程地址与本地地址;使用iplink启用GRE模式虚拟网卡;使用ipaddr在GRE模式虚拟网卡中增加peer地址为第一出口服务器;更改默认网关为peer地址。优选的,所述第一出口服务器与其他出口服务器运行OSPF协议,并互相建立为OSPF邻居。根据本专利技术的另一方面,提供一种堡垒机出口链路优化方法,包括:设置堡垒机与出口集群联通,其中,所述出口集群包括互为邻居的多个出口服务器,所述多个出口服务器分布在不同运营商中,且每个出口服务器配置有本运营商所有的运营商服务器地址;所述堡垒机通过所述出口服务器所配置的运营商服务器地址,登录运营商服务器。优选的,还包括:所述堡垒机与所述出口服务器之间建立隧道互联。优选的,还包括:设置所述堡垒机的默认网关为第一出口服务器,从而建立所述堡垒机与所述第一出口服务器的链路连接;设置所述第一出口服务器与其他出口服务器运行相同的路由协议并互相建立为邻居。优选的,所述堡垒机与所述出口服务器之间建立隧道互联,具体包括:使用iptunnel命令增加GRE模式虚拟网卡,并注明远程地址与本地地址;使用iplink启用GRE模式虚拟网卡;使用ipaddr在GRE模式虚拟网卡中增加peer地址为第一出口服务器;更改默认网关为peer地址。优选的,所述第一出口服务器与其他出口服务器运行OSPF协议,并互相建立为OSPF邻居。可见,本专利技术实施例中,设置堡垒机与出口集群,堡垒机通过与出口集群中的出口服务器建立隧道互联,通过出口服务器连接指定的运营商网络。可见,由于堡垒机不再存在外网ip,公网无法直接访问到堡垒机,从而提高堡垒机的安全性;而且,相对于现有技术中一台堡垒机只对应一个运营商,本专利技术可以实现一台堡垒机对应多个运营商,大幅优化链路质量,提高工作效率。附图说明图1是本专利技术一个实施例提供的一种堡垒机出口链路优化系统结构示意图;图2是本专利技术一个实施例提供的一种堡垒机出口链路优化方法流程图。具体实施方式为使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本专利技术作进一步详细的说明。本专利技术的的思路是,使用开源路由软件建设一个出口集群,堡垒机与出口集群建立隧道进行互联。即堡垒机不再需要外网ip,同时堡垒机也具有了多出口,能够大幅优化堡垒机到目标机之间的链路状况。其中,出口集群是指包括多个出口服务器的出口集群,每个出口服务器位于一个运营商内,例如,出口集群可以包括,北京联通出口服务器、北京电信出口服务器、北京教育网出口服务器、北京铁通出口服务器、北京移动出口服务器、北京电信通出口服务器等。本专利技术实施例提供的堡垒机出口链路优化系统,包括:堡垒机及出口集群。出口集群包括多个出口服务器,多个出口服务器分布在不同运营商中,多个出口服务器互相建立邻居;堡垒机通过出口服务器登录对应的运营商服务器,其中,出口服务器具有本运营商所有的运营商服务器地址,堡垒机通过出口服务器所具有的运营商服务器地址,实现登录运营商服务器。在一个优选方式中,堡垒机与出口服务器之间建立隧道互联,其中,堡垒机设置第一出口服务器为默认网关,从而建立堡垒机与第一出口服务器的链路连接;第一出口服务器与其他出口服务器运行相同的路由协议并互相建立为邻居。例如,第一出口服务器与其他出口服务器可以运行OSPF协议,从而互相建立为OSPF邻居。OSPF(OpenShortestPathFirst,开放式最短路径优先)是一个内部网关协议,用于在单一自治系统内决策路由,它是对链路状态路由协议的一种实现,隶属内部网关协议。与现有方案中堡垒机的默认网关设置为外网不同,本专利技术实施例中,设置堡垒机的默认网关为第一出口服务器,所有数据不再通过本机的外网默认网关,均通过隧道到不同的出口服务器,堡垒机的外网ip存在被攻击的可能,去掉外网ip堡垒机会更加安全,从而实现链路优化。具体的,堡垒机与所述出口服务器之间建立隧道互联的方式可以是:使用iptunnel命令增加GRE模式虚拟网卡,并注明远程地址与本地地址;使用iplink启用虚拟网卡;使用ipaddr在虚拟网卡中增加peer地址为第一出口服务器;更改默认网关为peer地址。其中,GRE(通用路由协议封装)是一种隧道协议,它规定了如何用一种网络协议去封装另一种网络协议的方法。参见图1,为本专利技术实施例提供的一种堡垒机出口链路优化系统示意图。图1中,示出了堡垒机1和出口集群2,其中,出口集群2包括出口服务器A、出口服务器B、出口服务器C,出口服务器A连接非移动、铁通网络,出口服务器B连接移动网络,出口服务器C连接铁通网络。需要说明的是,本专利技术不限制出口集群的大小,即不限制出发服务器的数量,一般而言,堡垒机需要连接多少个运营商,就需要多少个出口服务器。以北京地区为例,包括但不限于:北京联通出口服务器、北京电信出口服务器、北京教育网出口服务器、北京铁通出口服务器、北京移动出口服务器、北京电信通出口服务器,等等。参考图1,堡垒机工作过程如下。本文档来自技高网...
【技术保护点】
一种堡垒机出口链路优化系统,其特征在于,包括:堡垒机及出口集群;所述出口集群包括互为邻居的多个出口服务器,所述多个出口服务器分布在不同运营商中,且每个出口服务器配置有本运营商所有的运营商服务器地址;所述堡垒机通过所述出口服务器所配置有的运营商服务器地址,登录运营商服务器。
【技术特征摘要】
1.一种堡垒机出口链路优化系统,其特征在于,包括:堡垒机及出口集群;所述出口集群包括互为邻居的多个出口服务器,所述多个出口服务器分布在不同运营商中,且每个出口服务器配置有本运营商所有的运营商服务器地址;所述堡垒机通过所述出口服务器所配置有的运营商服务器地址,登录运营商服务器。2.如权利要求1所述的系统,其特征在于,所述堡垒机与所述出口服务器之间建立隧道互联。3.如权利要求1或2所述的系统,其特征在于,所述堡垒机设置第一出口服务器为默认网关,从而建立所述堡垒机与所述第一出口服务器的链路连接;所述第一出口服务器与其他出口服务器运行相同的路由协议并互相建立为邻居。4.如权利要求1或2所述的系统,其特征在于,所述堡垒机具体用于,使用iptunnel命令增加GRE模式虚拟网卡,并注明远程地址与本地地址;使用iplink启用GRE模式虚拟网卡;使用ipaddr在GRE模式虚拟网卡中增加peer地址为第一出口服务器;更改默认网关为peer地址。5.如权利要求3所述的系统,其特征在于,所述第一出口服务器与其他出口服务器运行OSPF协议,并互相建立为OSPF邻居。6.一种堡垒机出口链路优化方法,其特...
【专利技术属性】
技术研发人员:吴岩,
申请(专利权)人:北京奇艺世纪科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。