- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
IP終端接入是指終端設備通過以太網接口連接到路由器,通過該路由器完成終端(也稱為網點)與遠端Unix/Linux服務器(也稱為前置機)之間的數據交互。IP終端接入利用路由器作為終端接入發起方,將Unix/Linux服務器作為終端接入接收方,路由器負責其連接的終端和Unix/Linux服務器之間數據的透明傳輸。應用業務通過運行於Unix/Linux服務器上的ttyd程序或者sshd程序與發起方路由器交互,並通過路由器把業務畫麵推送到網點的終端上,完成業務交互處理。IP終端接入解決方案實現了根據IP終端的IP地址指定相應的終端號,完成同前置機服務之間的信息交換,同時具有加密、存屏、鎖定終端等一係列功能。
IP終端接入的典型組網如圖1所示:
圖1 IP終端接入典型應用組網圖
在上圖中,虛線的箭頭方向表示TCP連接的建立方向,即從發起方到接收方。銀行網點使用具有終端接入功能的路由器(發起方),通過網絡最終連接到支行的前置機上。銀行業務運行於前置機上,網點營業員在終端上輸入的信息通過發起方傳送到前置機上,前置機把各種業務界麵通過發起方推送到業務終端上,從而完成網點和支行的數據交互。
路由器IP終端接入功能如圖2所示,IP終端通過以太口連接到具有IP終端接入功能的路由器上,再由路由器連接到前置機上,進行數據交互。
圖2 IP終端接入功能示意圖
IP終端接入可以實現以下功能:
綁定主要是為了防止非法的用戶接入路由器。綁定方式主要有兩種:
l IP地址與終端綁定
l IP地址和MAC地址的組合與終端綁定
隻有提供的接入信息(包括IP地址或IP地址與MAC地址的組合)與路由器上事先定義的終端用戶信息完全符合時,才認為該終端用戶是合法用戶,發起的連接才允許接入路由器。否則,連接被拒絕。
& 說明:
當終端接入路由器的方式為非直連,即中間經過三層網絡設備進行連接時,由於路由器收到的報文攜帶的MAC地址不是終端本身的MAC地址,將導致認證失敗。因此,這種情況下,請不要使用MAC地址進行認證。
在實際應用中,一些用戶需要通過前置機對連接的路由器進行必要的認證來提高數據安全。目前支持的認證方式有兩種:一種是基於字符串的認證方式;另一種是基於MAC地址的認證方式。
字符串認證與密碼認證相同,即在前置機和路由器上配置相同的認證字符串。路由器與前置機建立連接時,將該認證字符串發送到前置機,前置機檢查認證字符串是否正確。如果正確,認證通過;如果不正確,認證不通過,連接建立失敗。
MAC地址認證與字符串認證類似,不同點在於在前置機和路由器上配置的是相同的MAC地址,該MAC地址是路由器上某個接口的MAC地址(可以通過命令指定)。
終端超時鎖定是指當某一終端在指定時間內沒有與接入路由器進行任何數據交互時,路由器將鎖定終端,此時,用戶隻有重新通過認證後才能再次操作終端。如果路由器沒有配置認證,鎖定功能失效。
當用戶需要暫時離開終端時,為了安全,可以對終端進行鎖定,接入路由器為終端提供熱鍵鎖定功能。終端鎖定後,隻有通過認證界麵的認證後才能再次獲得操作權限。如果終端沒有配置認證,鎖定功能失效。
需要注意的是解除鎖定使用的用戶名必須與鎖定前終端認證的用戶名一致。
終端超時斷開是指當終端和路由器之間的連接在指定時間內沒有數據交互時,主動斷開本連接以及路由器和前置機之間的對應連接,並釋放該連接占用的網絡資源,但不應影響其他連接的操作。
為了對IP終端的屬性進行調整,或者當TCP連接不正常時,可以在接入路由器上手動斷開IP終端與接入路由器的TCP連接。
由於IP終端接入功能在銀行的大量使用,對數據的安全性要求越來越高。可以通過終端接入的數據加密功能對路由器和前置機之間傳輸的數據進行加密,增強數據安全性。
如圖3所示,Router A和前置機之間的數據流是采用密文傳輸的。Router A和前置機(運行了ttyd程序或者sshd程序)都可以進行數據加密/解密處理,TTY接入方式下,目前支持對數據進行AES加密;SSH接入方式下,目前支持RSA和DSA這兩種非對稱加密算法。
源IP地址綁定的原理是先在路由器上狀態比較穩定的接口(建議使用Loopback接口或Dailer接口)上配置好IP地址,然後通過IP地址借用,作為路由器上行TCP連接的源IP地址。
由於前置機的ttyd程序需要對接入的路由器IP地址進行認證,當在廣域網使用撥號備份功能時,如果主鏈路異常斷開,路由器會啟用備份口,這時路由器的IP地址將發生改變,如果不進行源IP地址綁定就會導致認證失敗。為避免這種情況的發生,可以在路由器上配置源IP地址綁定,使用固定的IP地址與前置機建立TCP連接。
有時出於安全或其它方麵的考慮,需要隱藏路由器上行TCP連接中真正的IP地址,而使用其它的IP地址,這時,也需要配置源IP地址綁定功能。
需要注意的是,應確保前置機與該接口IP地址之間路由可達。
VPN綁定功能是指IP終端接入支持VPN多實例,即可以將連接到路由器的終端劃分到不同的VPN域中。這樣終端能夠訪問與自己位於同一個VPN域的前置機或遠端路由器。
為了提高IP終端接入的安全性,接入路由器提供對IP終端用戶進行AAA認證的功能,以阻止非法用戶的登錄。IP終端接入支持的認證分兩大類:密碼認證和scheme認證。密碼認證用戶隻需輸入密碼,路由器在本地對密碼進行檢驗,密碼正確時繼續正常業務,否則將要求用戶重新輸入密碼;scheme認證方式支持通過RADIUS等AAA認證服務器進行認證。
接入路由器支持同時配置多個前置機作為接收方,其中一個為主用,其它為備用。當接入路由器向前置機發起連接時,若主前置機因為故障等原因不可用,路由器能將終端的業務請求發送到備份前置機上去,從而更好的保證IP終端業務的持續進行。
由於終端對前置機的一些特殊字符(如回車)的認定存在差異,為了兼容更多的終端設備,需要支持將回車換行符(CRLF,對應的ASCII碼為0d0a或0d00)或回車符(CR,對應的ASCII碼為0d)統一作為終端可以正確識別的字符(CR或者CRLF)來進行處理。
使用該功能,當IP終端與終端接入路由器或者終端接入路由器與前置機之間的鏈路出現故障時,能夠及時發現鏈路故障,並釋放相應的網絡資源。
業務存屏功能是指被超時鎖定或手動鎖定的IP終端在解除鎖定後,能重新推出鎖定前的屏幕,使用戶能繼續前麵的工作,更大程度保證用戶工作的連續性。
售前谘詢
售後谘詢
人工在線谘詢
