密码框不停弹出-网络
密码框不停弹出之串讲
一些应用服务(包括HTTPS、FTP、邮件等)对于公网IP地址是敏感的,它们将监控客户的IP地址是否有转换。例如,您可能登陆到某些HTTPS网站(如网上银行服务)时,因IP转换而经常被服务系统弹出。
网上银行在登录15分钟后不动作会出现登录超时,如果在很短的时间出现登录超时,可能的原因就是使用多IP上网,则会造成数据发送和接收不是同一IP,为安全起见,网银会报超时并断开。
【典型问题:工行企业网银不停的弹出密码框,要求用户验证。】
笔者在工作中,数次遇到此问题,现在分析总结如下,与各位分享交流。
一.双条网络出口负载均衡
图1
如图1,客户有两条链路接入互联网。在出口路由器会有两条静态默认路由分,别指向两个不同的下一跳地址。这样所有流量都会在两条链路上进行负载分担,并转换成公网IP去往互联网;
默认情况下访问以轮询的方式进行负载均衡;举个例子,假如共有10000个会话,则其中约5000个会话(session)从链路一出去,约5000个会话会从链路二出去;
这样某些多连接(Connection)应用,很可能同用户发起的两个连接中的一个从链路一出去,而第二个连接从链路二出去,照成ip地址不停变换。最常见的例子是工商银行的网上银行业务,中国移动网上营业厅等网站。
解决方案
思科设备解决方案如下,其他设备请联系网络管理员。
方案一:静态路由
Router(config)#ip route 219.142.91.18 255.255.255.0 serial 0
// 219.142.91.18为工行网银在北京电信服务器的IP地址
具体的ip需要使用nslookup命令
方案二:负载均衡策略
负载平衡策略是一种在一段时间里将指定的数据流(如https数据流)绑定到特殊WAN界面的方法。
access-list 110 permit tcp 192.168.0.0 0.0.0.255 any eq 443 route-map 443 permit 10 match ip address 110 set ip next-hop 202.1.1.1 (外网) interface f0/0 ip address 192.168.0.1 255.255.255.0 ip policy route-map 443
二.网络端口地址转换 NAPT(Network Address Port Translation)
网络地址转换,是一种将私有地址转化为合法IP地址的转换技术,它被广泛应用于大型局域网络中。由于分配给中国的Ipv4地址数量严重不足,很多大型公司在设计网络中,使用了私有地址吗,又因私有IP在外网不合法,网络的内部IP地址无法在外部公网使用,就产生了IP 地址转换的需求。
假设客户机192.168.2.2试图访问工行网银服务器219.142.91.18,在出口路由器会建
①可以看到,客户访问网银服务器产生了多个IP,而服务器对公网IP地址是敏感的,它们将监控IP地址是否有转换,一旦发现ip变换,会弹出密码框重新验证客户身份。
解决方案
juniper防火墙,输入命令set dip sticky. 其他设备请联系网络管理员。
①可以理解为公司内部网络地址
扩展阅读
NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和 端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。