终端ip隐藏

技术介绍系统管理IP终端接入1IP终端接入IP终端接入简介IP终端接入是指终端设备通过以太网接口连接到路由器,通过该路由器完成终端(也称为网点)与远端Unix/Linux服务器(也称为前置机)之间的数据交互.
IP终端接入利用路由器作为终端接入发起方,将Unix/Linux服务器作为终端接入接收方,路由器负责其连接的终端和Unix/Linux服务器之间数据的透明传输.
应用业务通过运行于Unix/Linux服务器上的ttyd程序或者sshd程序与发起方路由器交互,并通过路由器把业务画面推送到网点的终端上,完成业务交互处理.
IP终端接入解决方案实现了根据IP终端的IP地址指定相应的终端号,完成同前置机服务之间的信息交换,同时具有加密、存屏、锁定终端等一系列功能.
IP终端接入的典型组网如图1所示:业务终端网点支行前置机IPnetworkIP图1IP终端接入典型应用组网图在上图中,虚线的箭头方向表示TCP连接的建立方向,即从发起方到接收方.
银行网点使用具有终端接入功能的路由器(发起方),通过网络最终连接到支行的前置机上.
银行业务运行于前置机上,网点营业员在终端上输入的信息通过发起方传送到前置机上,前置机把各种业务界面通过发起方推送到业务终端上,从而完成网点和支行的数据交互.
IP终端接入的功能特点路由器IP终端接入功能如图2所示,IP终端通过以太口连接到具有IP终端接入功能的路由器上,再由路由器连接到前置机上,进行数据交互.
技术介绍系统管理IP终端接入2IPnetworkTerminalATerminalBTerminalCRouter前置机1前置机2综合业务对公业务储蓄业务图2IP终端接入功能示意图IP终端接入可以实现以下功能:1.
终端地址绑定功能绑定主要是为了防止非法的用户接入路由器.
绑定方式主要有两种:zIP地址与终端绑定zIP地址和MAC地址的组合与终端绑定只有提供的接入信息(包括IP地址或IP地址与MAC地址的组合)与路由器上事先定义的终端用户信息完全符合时,才认为该终端用户是合法用户,发起的连接才允许接入路由器.
否则,连接被拒绝.
说明:当终端接入路由器的方式为非直连,即中间经过三层网络设备进行连接时,由于路由器收到的报文携带的MAC地址不是终端本身的MAC地址,将导致认证失败.
因此,这种情况下,请不要使用MAC地址进行认证.
2.
服务器连接认证在实际应用中,一些用户需要通过前置机对连接的路由器进行必要的认证来提高数据安全.
目前支持的认证方式有两种:一种是基于字符串的认证方式;另一种是基于MAC地址的认证方式.
技术介绍系统管理IP终端接入3字符串认证与密码认证相同,即在前置机和路由器上配置相同的认证字符串.
路由器与前置机建立连接时,将该认证字符串发送到前置机,前置机检查认证字符串是否正确.
如果正确,认证通过;如果不正确,认证不通过,连接建立失败.
MAC地址认证与字符串认证类似,不同点在于在前置机和路由器上配置的是相同的MAC地址,该MAC地址是路由器上某个接口的MAC地址(可以通过命令指定).
3.
终端超时锁定功能终端超时锁定是指当某一终端在指定时间内没有与接入路由器进行任何数据交互时,路由器将锁定终端,此时,用户只有重新通过认证后才能再次操作终端.
如果路由器没有配置认证,锁定功能失效.
4.
热键锁定功能当用户需要暂时离开终端时,为了安全,可以对终端进行锁定,接入路由器为终端提供热键锁定功能.
终端锁定后,只有通过认证界面的认证后才能再次获得操作权限.
如果终端没有配置认证,锁定功能失效.
需要注意的是解除锁定使用的用户名必须与锁定前终端认证的用户名一致.
5.
终端超时断链功能终端超时断开是指当终端和路由器之间的连接在指定时间内没有数据交互时,主动断开本连接以及路由器和前置机之间的对应连接,并释放该连接占用的网络资源,但不应影响其他连接的操作.
6.
手动断开链路功能为了对IP终端的属性进行调整,或者当TCP连接不正常时,可以在接入路由器上手动断开IP终端与接入路由器的TCP连接.
7.
加密功能由于IP终端接入功能在银行的大量使用,对数据的安全性要求越来越高.
可以通过终端接入的数据加密功能对路由器和前置机之间传输的数据进行加密,增强数据安全性.
如图3所示,RouterA和前置机之间的数据流是采用密文传输的.
RouterA和前置机(运行了ttyd程序或者sshd程序)都可以进行数据加密/解密处理,TTY接入方式下,目前支持对数据进行AES加密;SSH接入方式下,目前支持RSA和DSA这两种非对称加密算法.
技术介绍系统管理IP终端接入4TerminalARouterA前置机WANRouterB图3路由器和前置机之间数据加密过程示意图8.
源地址绑定功能源IP地址绑定的原理是先在路由器上状态比较稳定的接口(建议使用Loopback接口或Dailer接口)上配置好IP地址,然后通过IP地址借用,作为路由器上行TCP连接的源IP地址.
由于前置机的ttyd程序需要对接入的路由器IP地址进行认证,当在广域网使用拨号备份功能时,如果主链路异常断开,路由器会启用备份口,这时路由器的IP地址将发生改变,如果不进行源IP地址绑定就会导致认证失败.
为避免这种情况的发生,可以在路由器上配置源IP地址绑定,使用固定的IP地址与前置机建立TCP连接.
有时出于安全或其它方面的考虑,需要隐藏路由器上行TCP连接中真正的IP地址,而使用其它的IP地址,这时,也需要配置源IP地址绑定功能.
需要注意的是,应确保前置机与该接口IP地址之间路由可达.
9.
VPN绑定功能VPN绑定功能是指IP终端接入支持VPN多实例,即可以将连接到路由器的终端划分到不同的VPN域中.
这样终端能够访问与自己位于同一个VPN域的前置机或远端路由器.
10.
支持AAA认证功能为了提高IP终端接入的安全性,接入路由器提供对IP终端用户进行AAA认证的功能,以阻止非法用户的登录.
IP终端接入支持的认证分两大类:密码认证和scheme认证.
密码认证用户只需输入密码,路由器在本地对密码进行检验,密码正确时继续正常业务,否则将要求用户重新输入密码;scheme认证方式支持通过RADIUS等AAA认证服务器进行认证.
11.
支持应用备份功能接入路由器支持同时配置多个前置机作为接收方,其中一个为主用,其它为备用.
当接入路由器向前置机发起连接时,若主前置机因为故障等原因不可用,路由器能将终端的业务请求发送到备份前置机上去,从而更好的保证IP终端业务的持续进行.
技术介绍系统管理IP终端接入512.
对特定字符的可选处理由于终端对前置机的一些特殊字符(如回车)的认定存在差异,为了兼容更多的终端设备,需要支持将回车换行符(CRLF,对应的ASCII码为0d0a或0d00)或回车符(CR,对应的ASCII码为0d)统一作为终端可以正确识别的字符(CR或者CRLF)来进行处理.
13.
链路检测功能使用该功能,当IP终端与终端接入路由器或者终端接入路由器与前置机之间的链路出现故障时,能够及时发现链路故障,并释放相应的网络资源.
14.
业务存屏功能业务存屏功能是指被超时锁定或手动锁定的IP终端在解除锁定后,能重新推出锁定前的屏幕,使用户能继续前面的工作,最大程度保证用户工作的连续性.