本申请公开了一种网络访问控制方法及装置、网络系统,该网络访问控制方法包括:第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。本实施例提供的方案,通过将两个网络的虚拟IP进行绑定实现对第一网络的访问,无需增加路由器,降低了成本,提高了安全性。
【技术实现步骤摘要】
一种网络访问控制方法及装置、网络系统
本专利技术涉及网络技术,尤指一种网络访问控制方法及装置、网络系统。
技术介绍
在虚拟化,云计算的场景中,平台的搭建基于三网分离的思想,即管理网络、存储网络和业务网络相互隔离。这种情况下,管理网络中的资源并不能够被其他网络访问。如果系统中有这样的需求,就必须通过路由联通相互隔离的网络。如图1所示,图1中业务网络如果要访问管理网络,需要在管理网络设备和业务网络设备之间添加路由器。这种方式会带来安全风险,增加成本,也不符合三网分离的原则。
技术实现思路
为了解决上述技术问题,本专利技术至少一实施例提供了一种网络访问控制方法及装置、网络系统。为了达到本专利技术目的,本专利技术至少一实施例提供了一种网络访问控制方法,包括:第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。本专利技术至少一实施例提供一种网络访问控制装置,包括:访问控制模块,用于将第一网络中用于对外提供访问入口的第一虚拟IP与第二网络中的第二虚拟IP绑定。本专利技术至少一实施例提供一种网络系统,包括第一网络和第二网络,其中:所述第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。与相关技术相比,本专利技术至少一实施例中,通过将第一网络的虚拟IP和第二网络的虚拟IP进行绑定,实现对第一网络的访问。本专利技术至少一实施例提供的方案,不需要增加路由设备,降低了成本,提高了安全性。本专利技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。附图说明附图用来提供对本专利技术技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本专利技术的技术方案,并不构成对本专利技术技术方案的限制。图1为相关技术中网络架构图;图2为本专利技术一实施例提供的网络访问控制方法流程图;图3为本专利技术一实施例提供的网络访问控制装置框图;图4为本专利技术另一实施例提供的网络访问控制方法流程图;图5为本专利技术一实施例提供的网络架构图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,下文中将结合附图对本专利技术的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。如图2所示,本专利技术一实施例提供一种网络访问控制方法,包括:步骤201,第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;步骤202,所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。其中,所述绑定是指,第一虚拟IP和第二虚拟IP对应同一节点(即主机)。本实施例提供的方案,通过将两个网络的虚拟IP进行绑定实现对第一网络的访问,无需增加路由器,降低了成本,提高了安全性。在一实施例中,所述方法还包括,当所述第一虚拟IP发生漂移时,将所述第二虚拟IP漂移到与所述第一虚拟IP相同的节点。比如,第一虚拟IP对应的节点发生故障,此时,第一虚拟IP漂移到另一节点,此时,需要将第二虚拟IP也漂移到该节点。本实施例提供的方案,能使得发生漂移时第一虚拟IP和第二虚拟IP仍在同一主机,使得第二网络能够继续通过第二虚拟IP访问第一网络。在一实施例中,所述第一网络和所述第二网络彼此之间为隔离网络。即第一网络和第二网络之间无路由设备。在一实施例中,所述方法还包括:所述第一网络接收所述第二网络通过第二虚拟IP-主机协议栈-第一虚拟IP路径发送的访问请求。第二网络可以通过该路径实现对第一网络的访问。在一实施例中,所述第一网络为管理网络,所述第二网络为业务网络。需要说明的是,第一网络也可以是业务网络,第二网络为管理网络。当然,第一网络和第二网络也可以是非云计算、虚拟化场景中的其他网络。如图3所示,本专利技术一实施例提供一种网络访问控制装置,包括:访问控制模块301,用于将第一网络中用于对外提供访问入口的第一虚拟IP与第二网络中的第二虚拟IP绑定。在一实施例中,所述访问控制模块301还用于:当所述第一虚拟IP发生漂移时,将所述第二虚拟IP漂移到与所述第一虚拟IP相同的节点。在一实施例中,所述网络访问控制装置还包括接收模块302,用于接收所述第二网络通过第二虚拟IP-主机协议栈-第一虚拟IP路径发送的访问请求。本专利技术一实施例提供一种网络系统,包括第一网络和第二网络,其中:所述第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。在一实施例中,所述第二网络用于,通过所述第二虚拟IP-主机协议栈-所述第一虚拟IP的路径向所述第一网络发送访问请求。以云平台为例,在云平台的搭建中,管理网络的资源如对外服务,存储的镜像资源等,都被纳入管理网中,并分配一个虚拟IP即虚拟IP1对外提供访问入口。此时如果需要在其他网络中,如业务网中访问管理网络中的这些资源,如果不使用路由器连接管理网络与业务网络、存储网络,可以通过为管理网络的虚拟IP1绑定一个业务网络的虚拟IP2,且该虚拟IP2随着管理网络的虚拟IP1漂移,实现虚拟IP2时刻与管理虚拟IP1在同一主机,此时,业务网络通过虚拟IP2和主机协议栈访问管理网虚拟IP1,达到访问管理网资源的目的。以管理网络和业务网络为例进一步说明本申请。如图4所示,本专利技术一实施例提供一种网络访问控制方法,包括:步骤401,在管理网络对外提供服务的主机上添加网卡连接到业务网络,一般数据中心建设中该网卡已存在并连接好。步骤402,选择一个业务网络的IP地址作为虚拟IP2,该虚拟IP2可以访问业务网络。步骤403,配置虚拟IP2的浮动策略,与管理网络的虚拟IP1保持一致,即使得虚拟IP2跟随虚拟IP1漂移;其中,虚拟IP1用于对外提供访问入口,虚拟IP1对应对外提供服务的主机。如图5所示,当管理网络的虚拟IP1发生漂移的时候,从主机501偏移到主机502,虚拟IP2也随之一起漂移到主机502。步骤404,业务网络需要访问管理网络的资源时,通过配置的虚拟IP2-主机协议栈-虚拟IP1的路径进行访问。本实施例提供的方案,不需要增加路由器,从而降低了成本,提高了安全性,并且符合三网分离设计原则。本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储本文档来自技高网...
【技术保护点】
1.一种网络访问控制方法,包括:第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。
【技术特征摘要】
1.一种网络访问控制方法,包括:第一网络对外提供服务的主机上配置有用于连接第二网络的网卡;所述第一网络中用于对外提供访问入口的第一虚拟IP与所述第二网络中的第二虚拟IP绑定。2.根据权利要求1所述的网络访问控制方法,其特征在于,所述方法还包括,当所述第一虚拟IP发生漂移时,将所述第二虚拟IP漂移到与所述第一虚拟IP相同的节点。3.根据权利要求1所述的网络访问控制方法,其特征在于,所述第一网络和所述第二网络彼此之间为隔离网络。4.根据权利要求1至3任一所述的网络访问控制方法,其特征在于,所述方法还包括:所述第一网络接收所述第二网络通过第二虚拟IP-主机协议栈-第一虚拟IP路径发送的访问请求。5.根据权利要求1至3任一所述的网络访问控制方法,其特征在于,所述第一网络为管理网络,所述第二网络为业务网络。6.一种网络访问控制装置,其特征在于,包括:访问控制模块,用于将...
【专利技术属性】
技术研发人员:黄世杰,郭旭亮,
申请(专利权)人:郑州云海信息技术有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。