CN113542094A - 访问权限的控制方法及装置 - Google Patents
访问权限的控制方法及装置 Download PDFInfo
- Publication number
- CN113542094A CN113542094A CN202110629988.8A CN202110629988A CN113542094A CN 113542094 A CN113542094 A CN 113542094A CN 202110629988 A CN202110629988 A CN 202110629988A CN 113542094 A CN113542094 A CN 113542094A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- vlan
- user
- vxlan
- vpn name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请提供一种访问权限的控制方法及装置,所述方法应用于交换机,所述方法包括:接收用户终端发送的第一认证请求,所述第一认证请求包括所述用户终端所处VLAN的VLAN标识;根据所述VLAN标识,获取所述用户终端接入的第一VPN名称;向认证服务器发送第二认证请求,所述第二认证请求包括所述用户终端接入的第一VPN名称;接收所述认证服务器发送的第一消息,所述第一消息包括所述用户终端对应的用户角色,所述第一消息为所述认证服务器判断所述第一VPN名称与已存储的用户角色绑定的第二VPN名称匹配后发送;根据所述用户角色,确定所述用户终端的网络访问权限。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种访问权限的控制方法及装置。
背景技术
微分段是一种基于用户角色控制访问权限策略,认证服务器在用户终端认证通过后向交换机下发用户角色(该用户角色是指使用该用户终端进行认证的用户的角色),交换机基于下发的角色为用户终端设置各种安全、限速等网络访问策略。
微分段可用于解决业务安全与网络解耦的问题,实现基于角色的控制访问与用户终端接入网络的完全解耦。如图1所示,图1为现有技术中VXLAN组网示意图。在图1中,业务安全由角色决定,而不关心用户终端从哪个VXLAN接入。同一个角色在不同场景接入具有不同VPN的权限。
例如,角色可具体为老师、学生等身份角色。场景可具体为教室区、宿舍区等区域。老师使用用户终端在教室区和宿舍区接入网络所能访问的VPN应该是不同的。
在微分段虚拟局域网(英文:Virtual Local Area Network,简称:VLAN)和静态虚拟扩展局域网(英文:Virtual Extensible Local Area Network,简称:VXLAN)场景下,由于控制器(处于SDN网络内)先创建VPN,然后,在虚拟专用网(英文:Virtual PrivateNetwork,简称:VPN)内再创建角色组,如此仅可控制一个VPN下允许哪些角色的用户终端接入,而无法通过角色控制用户终端应该从哪个VPN接入。因此,需创建一单独的VPN控制策略来决定用户终端访问的VPN,否则,将会导致用户终端在不属于自身的VPN接入时仍然能够上线,且能够访问其VPN下的资源,带来安全隐患,需要实现VPN与用户角色的双层隔离。
在现有用户终端接入VPN方案中,如图2所示,图2为现有技术中用户终端认证过程示意图。
在图2中,管理人员在认证服务器中手工配置用户终端接入的条件。控制器向认证服务器下发角色间访问策略。控制器向交换机下发角色间访问策略、用户角色与VXLAN之间的映射关系。用户终端向交换机发起认证。交换机向认证服务器发送认证请求。若用户终端认证通过,则认证服务器根据认证请求判断用户终端的接入场景,并根据接入场景判断用户终端可以接入的VPN以及用户角色。认证服务器向交换机授权用户角色以及对应用户终端接入的VPN。交换机判断用户终端接入的VPN与授权的VPN是否匹配。若匹配,则交换机建立用户终端的MAC/IP地址与用户角色之间映射关系的ARP表,通过用户角色查找VXLAN,交换机允许用户终端上线并访问网络,否则,交换机禁止用户终端上线。
但是,现有用户终端接入VPN方案也出现下述缺陷:1)角色控制与VPN控制是两个完全独立的控制策略,需要管理人员设定复杂的接入匹配策略,如此,增加了网络部署难度和管理人员的操作难度,降低用户友好性;2)交换机在授权阶段判断用户终端是否具有VPN的访问权限,对交换机依赖性较高。
发明内容
有鉴于此,本申请提供了一种访问权限的控制方法及装置,用以解决现有用户终端接入VPN方案对交换机依赖性高、增加网络部署难度和管理人员操作难度的问题。
第一方面,本申请提供了一种访问权限的控制方法,所述方法应用于交换机,所述方法包括:
接收用户终端发送的第一认证请求,所述第一认证请求包括所述用户终端所处VLAN的VLAN标识;
根据所述VLAN标识,获取所述用户终端接入的第一VPN名称;
向认证服务器发送第二认证请求,所述第二认证请求包括所述用户终端接入的第一VPN名称;
接收所述认证服务器发送的第一消息,所述第一消息包括所述用户终端对应的用户角色,所述第一消息为所述认证服务器判断所述第一VPN名称与已存储的用户角色绑定的第二VPN名称匹配后发送;
根据所述用户角色,确定所述用户终端的网络访问权限。
第二方面,本申请提供了一种访问权限的控制装置,所述装置应用于交换机,所述装置包括:
接收单元,用于接收用户终端发送的第一认证请求,所述第一认证请求包括所述用户终端所处VLAN的VLAN标识;
获取单元,用于,根据所述VLAN标识,获取所述用户终端接入的第一VPN名称;
发送单元,用于向认证服务器发送第二认证请求,所述第二认证请求包括所述用户终端接入的第一VPN名称;
所述接收单元还用于,接收所述认证服务器发送的第一消息,所述第一消息包括所述用户终端对应的用户角色,所述第一消息为所述认证服务器判断所述第一VPN名称与已存储的用户角色绑定的第二VPN名称匹配后发送;
确定单元,用于根据所述用户角色,确定所述用户终端的网络访问权限。
第三方面,本申请提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本申请第一方面所提供的方法。
因此,通过应用本申请提供的访问权限的控制方法及装置,交换机接收用户终端发送的第一认证请求,该第一认证请求包括所述用户终端所处VLAN的VLAN标识;根据VLAN标识,交换机获取用户终端接入的第一VPN名称;交换机向认证服务器发送第二认证请求,该第二认证请求包括用户终端接入的第一VPN名称;交换机接收认证服务器发送的第一消息,该第一消息包括用户终端对应的用户角色,第一消息为认证服务器判断第一VPN名称与已存储的用户角色绑定的第二VPN名称匹配后发送;根据用户角色,交换机确定用户终端的网络访问权限。
如此,解决现有用户终端接入VPN方案对交换机依赖性高、增加网络部署难度和管理人员操作难度的问题,节省了管理人员在网络部署时的规划和配置任务。
附图说明
图1为现有技术中VXLAN组网示意图;
图2为现有技术中用户终端认证过程示意图;
图3为本申请实施例提供的访问权限的控制方法的流程图;
图4为本申请实施例提供的用户终端认证过程时序信令图;
图5为本申请实施例提供的访问权限的控制装置结构图;
图6为本申请实施例提供的网络设备硬件结构体。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请实施例提供的访问权限的控制方法进行详细地说明。参见图3,图3为本申请实施例提供的访问权限的控制方法的流程图。该方法应用于交换机,本申请实施例提供的访问权限的控制方法可包括如下所示步骤。
步骤310、接收用户终端发送的第一认证请求,所述第一认证请求包括所述用户终端所处VLAN的VLAN标识。
具体地,用户终端接入一VPN并在该VPN下访问网络,用户终端生成第一认证请求,该第一认证请求包括用户终端所处的VLAN标识。例如,该VLAN标识可具体为用户终端包括的某一接口的VLAN标识。
可以理解的是,该VLAN标识用于指示该第一认证请求所属VLAN的编号。VLAN标识可基于用户终端包括的某一接口划分,或者基于用户终端的MAC地址划分。
本申请实施例中,以基于接口划分VLAN为例进行说明,但并不限定VLAN标识的划分方式。
进一步地,在步骤之前,还包括交换机接收控制器下发各种配置指令,并将配置指令中的信息存储在本地的过程。
交换机接收控制器发送的第一配置指令,该第一配置指令包括用户角色间网络访问规则以及用户角色与VXLAN之间的映射关系。
例如,用户角色(SGT)为老师、学生,控制器创建角色间网络访问规则:permit SGT老师访问SGT学生IP网段规则,deny SGT学生访问SGT老师的IP网段规则。控制器创建用户角色与VXLAN之间的映射关系:SGT老师:VXLAN100;SGT学生:VXLAN101。
更进一步地,控制器还生成每个用户终端接入VLAN的接口信息、VLAN标识与VXLAN之间的绑定关系,该绑定关系用于使交换机通过接口信息以及VLAN标识查询对应的VXLAN,通过VXLAN确定VXLAN接口,并通过VXLAN接口获取VXLAN网关的VPN名称。控制器向交换机发送第二配置指令,该第二配置指令包括接口信息以及VLAN标识与VXLAN标识之间的绑定关系。
在本步骤中,可采用多种认证方式对用户终端的入网过程进行认证。例如,MAC认证、Web认证、802.1X认证等方式。若用户终端为MAC认证、Web认证方式,则前述第一认证请求可为任一包括用户终端MAC地址的报文,若用户终端为802.1X认证方式,则前述第一认证请求可为可扩展认证协议(英文:Extensible Authentication Protocol,简称:EAP)报文。
在本申请实施例中,用户终端可具体为个人电脑(英文:Personal Computer,简称:PC),使用该PC的用户的用户角色为老师。该PC生成第一认证请求并向交换机发起认证,接收PC发送的第一认证请求,第一认证请求包括PC接入的VLAN标识。
步骤320、根据所述VLAN标识,获取所述用户终端接入的第一VPN名称。
具体地,根据步骤310的描述,交换机接收到第一认证请求后,从第一认证请求中获取VLAN标识。根据VLAN标识,交换机获取用户终端接入的第一VPN名称。
进一步地,在一种实现方式中,当用户终端处于VLAN组网时,该VLAN标识具体为二层VLAN标识。根据该VLAN标识,交换机查询与VLAN标识对应的三层VLAN接口,并获取三层VLAN接口下配置的VPN名称;交换机将三层VLAN接口下配置的VPN名称作为第一VPN名称。
在另一种实现方式中,当用户终端处于静态VXLAN组网时,第一认证请求还包括用户终端接入VLAN的接口信息。根据接口信息以及VLAN标识,交换机查询与接口信息以及VLAN标识对应的VXLAN标识;根据VXLAN标识,交换机确定对应的VXLAN接口;根据VXLAN接口,交换机获取VXLAN接口所在VXLAN网关的VPN名称;交换机将VXLAN接口所在VXLAN网关的VPN名称作为第一VPN名称。
步骤330、向认证服务器发送第二认证请求,所述第二认证请求包括所述用户终端接入的第一VPN名称。
具体地,根据步骤320的描述,交换机获取到用户终端接入的第一VPN名称后,交换机生成第二认证请求,该第二认证请求包括用户终端接入的第一VPN名称。
交换机向认证服务器发送第二认证请求。
在本申请实施例中,第二认证请求可具体为远程用户拨号认证服务(英文:RemoteAuthentication Dial In User Service,简称:RADIUS)认证请求,在RADIUS认证请求中,通过私有RADIUS属性VPN-NAME上传第一VPN名称。例如,老师使用PC接入的第一VPN名称具体指示教学网VPN。
步骤340、接收所述认证服务器发送的第一消息,所述第一消息包括所述用户终端对应的用户角色,所述第一消息为所述认证服务器判断所述第一VPN名称与已存储的用户角色绑定的第二VPN名称匹配后发送。
具体地,在本申请实施例中,第一认证请求中包括用户名,该用户名用于标识用户。交换机接收到第一认证请求后,根据步骤320的描述,生成第二认证请求,该第二认证请求包括用户名。
根据步骤330的描述,认证服务器接收到第二认证请求后,从第二认证请求中获取用户名以及第一VPN名称。根据用户名,认证服务器从本地获取与该用户名匹配的用户信息,该用户信息中包括使用用户终端的用户所对应的用户角色。根据用户角色,认证服务器从已存储的用户角色与VPN表中,获取与用户角色对应的用户角色与VPN表项。
交换机从用户角色与VPN表项中获取第二VPN名称。交换机识别第一VPN名称与第二VPN名称是否匹配。在本申请实施例中,“匹配”即指“相同”。也即是,交换机识别第一VPN名称与第二VPN名称是否相同。
若第一VPN名称与第二VPN名称匹配,则认证服务器生成第一消息,该第一消息包括用户终端对应的用户角色。认证服务器向交换机发送第一消息。
若第一VPN名称与第二VPN名称未匹配,则认证服务器生成第二消息。认证服务器向交换机发送第二消息,交换机接收到第二消息后,向用户终端转发第二消息。用户终端接收到第二消息后,确定认证失败。
在本申请实施例中,第一消息可具体为RADIUS ACCEPT(RADIUS接受)消息;第二消息可具体为RADIUS REJECT(RADIUS拒绝)消息。
步骤350、根据所述用户角色,确定所述用户终端的网络访问权限。
具体地,根据步骤340的描述,交换机接收到第一消息后,从第一消息中获取用户角色。根据用户角色,交换机确定用户终端的网络访问权限。
进一步地,根据用户角色,交换机确定用户终端的网络访问权限可具体包括下述过程:交换机建立用户终端的MAC/IP地址与用户角色之间映射关系的地址解析协议(英文:Address Resolution Protocol,简称:ARP)表,通过用户角色查找VXLAN,交换机允许用户终端上线并访问网络。
因此,通过应用本申请提供的访问权限的控制方法及装置,交换机接收用户终端发送的第一认证请求,该第一认证请求包括所述用户终端所处VLAN的VLAN标识;根据VLAN标识,交换机获取用户终端接入的第一VPN名称;交换机向认证服务器发送第二认证请求,该第二认证请求包括用户终端接入的第一VPN名称;交换机接收认证服务器发送的第一消息,该第一消息包括用户终端对应的用户角色,第一消息为认证服务器判断第一VPN名称与已存储的用户角色绑定的第二VPN名称匹配后发送;根据用户角色,交换机确定用户终端的网络访问权限。
如此,解决现有用户终端接入VPN方案对交换机依赖性高、增加网络部署难度和管理人员操作难度的问题,节省了管理人员在网络部署时的规划和配置任务。
下面对本申请实施例提供的访问权限的控制方法进行详细地说明。参见图4,图4为本申请实施例提供的用户终端认证过程时序信令图。
步骤400、控制器向认证服务器下发用户角色间网络访问规则。
具体地,控制器内创建多个用户角色SGT,并创建多个用户角色间的网络访问规则。
控制器内创建用户角色SGT与VPN的绑定关系。其中,一个用户角色SGT仅与一个VPN绑定,多个不同的用户角色SGT可绑定同一个VPN。
控制器内创建用户角色与VXLAN之间的映射关系。控制器还生成每个用户终端接入VLAN的接口信息、VLAN标识与VXLAN之间的绑定关系,该绑定关系用于使交换机通过接口信息以及VLAN标识查询对应的VXLAN,通过VXLAN确定VXLAN接口,并通过VXLAN接口获取VXLAN网关的VPN名称。
在一种场景下,控制器创建教学网VPN与物联网VPN,并创建多个用户角色SGT。例如,SGT老师、SGT学生、SGT-IoT(摄像头/门禁)。控制器将SGT老师、SGT学生与教学网VPN绑定,将SGT-IoT与物联网VPN绑定。控制器将SGT老师与VXLAN100绑定;将SGT学生与VXLAN101绑定;将SGT-IoT与物联网VXLAN102绑定。
控制器创建多个用户角色间的网络访问规则具体为:permit SGT老师访问SGT学生IP网段规则,deny SGT学生访问SGT老师的IP网段规则。
控制器向认证服务器下发用户角色间网络访问规则。
认证服务器接收到用户角色间网络访问规则后,将用户角色间网络访问规则存储至本地。
进一步地,控制器可通过NETCONF报文向认证服务器下发用户角色间网络访问规则。例如,控制器生成第一NETCONF报文,该第一NETCONF报文包括用户角色间的网络访问规则。控制器向认证服务器发送第一NETCONF报文。
步骤401、控制器向认证服务器下发用户角色与VPN绑定关系。
具体地,根据步骤401的描述,控制器创建用户角色与VPN绑定关系后,控制器向认证服务器下发用户角色与VPN绑定关系。
认证服务器接收到用户角色与VPN绑定关系后,将用户角色与VPN绑定关系生成用户角色与VPN表并存储至本地。
进一步地,控制器可通过NETCONF报文向认证服务器下发用户角色间网络访问规则。例如,控制器生成第二NETCONF报文,该第二NETCONF报文包括用户角色与VPN绑定关系。控制器向认证服务器发送第二NETCONF报文。
步骤402、控制器向交换机下发用户角色间网络访问规则以及用户角色与VXLAN之间的映射关系。
具体地,根据步骤401的描述,控制器向交换机下发用户角色间网络访问规则以及用户角色与VXLAN之间的映射关系。
交换机接收到用户角色间网络访问规则以及用户角色与VXLAN之间的映射关系后,将用户角色间网络访问规则以及用户角色与VXLAN之间的映射关系存储至本地。
进一步地,控制器可通过网络配置协议(英文:Network ConfigurationProtocol,简称:NETCONF)报文向交换机下发用户角色间网络访问规则以及用户角色与VXLAN之间的映射关系。例如,控制器生成第三NETCONF报文,该第三NETCONF报文包括用户角色间网络访问规则以及用户角色与VXLAN之间的映射关系。控制器向交换机发送第三NETCONF报文。
步骤403、用户终端向交换机发送第一认证请求。
具体地,用户终端接入某一VPN后,向交换机发起认证。用户终端生成第一认证请求,并向交换机发送第一认证请求。该第一认证请求包括用户名以及用户终端所处的VLAN标识。该用户名用于标识用户,以使得认证服务器接收到交换机发送的认证请求后,通过用户名在本地获取与该用户名对应的用户角色。
进一步地,在一种实现方式中,当用户终端处于VLAN组网时,该VLAN标识具体为二层VLAN标识。
在另一种实现方式中,当用户终端处于静态VXLAN组网时,第一认证请求还包括用户终端接入VLAN的接口信息。
用户终端向交换机发送第一认证请求。
步骤404、交换机获取用户终端接入的第一VPN名称。
具体地,根据步骤403的描述,交换机接收到第一认证请求后,从第一认证请求中获取VLAN标识。根据VLAN标识,交换机获取用户终端接入的第一VPN名称。
进一步地,在一种实现方式中,当用户终端处于VLAN组网时,根据该VLAN标识,交换机查询与VLAN标识对应的三层VLAN接口,并获取三层VLAN接口下配置的VPN名称;交换机将三层VLAN接口下配置的VPN名称作为第一VPN名称。
在另一种实现方式中,当用户终端处于静态VXLAN组网时,根据接口信息以及VLAN标识,交换机查询与接口信息以及VLAN标识对应的VXLAN标识;根据VXLAN标识,交换机确定对应的VXLAN接口;根据VXLAN接口,交换机获取VXLAN接口所在VXLAN网关的VPN名称;交换机将VXLAN接口所在VXLAN网关的VPN名称作为第一VPN名称。
步骤405、交换机向认证服务器发送第二认证请求,第二认证请求包括第一VPN名称。
具体地,根据步骤404的描述,交换机获取到用户终端接入的第一VPN名称后,交换机生成第二认证请求,该第二认证请求包括用户终端接入的第一VPN名称。
交换机向认证服务器发送第二认证请求。
可以理解的是,第二认证请求还包括用户名。该用户名从第一认证请求中继承。
在本申请实施例中,第二认证请求可具体为RADIUS认证请求,在RADIUS认证请求中,通过私有RADIUS属性VPN-NAME上传第一VPN名称。例如,老师使用PC接入的第一VPN名称具体指示教学网VPN。
步骤406、认证服务器识别第一VPN名称与本地存储的第二VPN名称是否匹配。
具体地,根据步骤405的描述,认证服务器接收到第二认证请求后,从第二认证请求中获取用户名以及第一VPN名称。根据用户名,认证服务器从本地获取与该用户名匹配的用户信息,该用户信息中包括使用用户终端的用户所对应的用户角色。根据用户角色,认证服务器从已存储的用户角色与VPN表中,获取与用户角色对应的用户角色与VPN表项。
交换机从用户角色与VPN表项中获取第二VPN名称。交换机识别第一VPN名称与第二VPN名称是否匹配。在本申请实施例中,“匹配”即指“相同”。也即是,交换机识别第一VPN名称与第二VPN名称是否相同。
步骤407、若未匹配,则认证服务器向交换机发送第二消息。
具体地,根据步骤406的描述,若第一VPN名称与第二VPN名称未匹配,则认证服务器生成第二消息。认证服务器向交换机发送第二消息。
在本申请实施例中,第二消息可具体为RADIUS REJECT消息。
步骤408、交换机向用户终端发送第二消息。
具体地,根据步骤407的描述,交换机接收到第二消息后,向用户终端转发第二消息。用户终端接收到第二消息后,确定认证失败。
步骤409、若匹配,则认证服务器向交换机发送第一消息。
具体地,根据步骤406的描述,若第一VPN名称与第二VPN名称相同,则认证服务器生成第一消息,该第一消息包括用户终端对应的用户角色。认证服务器向交换机发送第一消息。
在本申请实施例中,第一消息可具体为RADIUUS ACCEPT消息。
步骤410、交换机确定所述用户终端的网络访问权限。
具体地,根据步骤409的描述,交换机接收到第一消息后,从第一消息中获取用户角色。根据用户角色,交换机确定用户终端的网络访问权限。
进一步地,根据用户角色,交换机确定用户终端的网络访问权限可具体包括下述过程:交换机建立用户终端的MAC/IP地址与用户角色之间映射关系的ARP表,通过用户角色查找VXLAN,交换机允许用户终端上线并访问网络。
步骤411、用户终端上线并访问网络。
基于同一发明构思,本申请实施例还提供了与访问权限的控制方法对应的访问权限的控制装置。参见图5,图5为本申请实施例提供的访问权限的控制装置结构图。所述装置应用于应用于交换机,所述装置包括:
接收单元510,用于接收用户终端发送的第一认证请求,所述第一认证请求包括所述用户终端所处VLAN的VLAN标识;
获取单元520,用于,根据所述VLAN标识,获取所述用户终端接入的第一VPN名称;
发送单元530,用于向认证服务器发送第二认证请求,所述第二认证请求包括所述用户终端接入的第一VPN名称;
所述接收单元510还用于,接收所述认证服务器发送的第一消息,所述第一消息包括所述用户终端对应的用户角色,所述第一消息为所述认证服务器判断所述第一VPN名称与已存储的用户角色绑定的第二VPN名称匹配后发送;
确定单元540,用于根据所述用户角色,确定所述用户终端的网络访问权限。
可选地,所述接收单元510还用于,接收控制器发送的第一配置指令,所述第一配置指令包括用户角色间网络访问规则以及用户角色与VXLAN之间的映射关系;
所述确定单元540具体用于,根据所述用户角色,获取与所述用户角色关联的用户角色间网络访问规则以及与所述用户角色匹配的VXLAN标识。
可选地,所述获取单元520具体用于,当所述用户终端处于VLAN组网时,根据所述VLAN标识,查询与所述VLAN标识对应的三层VLAN接口,并获取所述三层VLAN接口下配置的VPN名称;
将所述三层VLAN接口下配置的VPN名称作为所述第一VPN名称。
可选地,所述接收单元510还用于,接收所述控制器发送的第二配置指令,所述第二配置指令包括接口信息以及所述VLAN标识与VXLAN标识之间的绑定关系。
可选地,所述第一认证请求还包括接入所述VLAN的接口信息;
所述获取单元520具体用于,当所述用户终端处于VXLAN组网时,根据所述接口信息以及所述VLAN标识,查询与所述接口信息以及所述VLAN标识对应的VXLAN标识;
根据所述VXLAN标识,确定对应的VXLAN接口;
根据所述VXLAN接口,获取所述VXLAN接口所在VXLAN网关的VPN名称;
将所述VXLAN接口所在VXLAN网关的VPN名称作为所述第一VPN名称。
可选地,所述接收单元510还用于,接收所述认证服务器发送的第二消息;
所述发送单元530还用于,向所述用户终端发送所述第二消息,以使得所述用户终端根据所述第二消息确定认证失败;
所述第二消息为所述认证服务器判断所述第一VPN名称与已存储的用户角色绑定的第二VPN名称未匹配后发送。
因此,通过应用本申请提供的访问权限的控制装置,交换机接收用户终端发送的第一认证请求,该第一认证请求包括所述用户终端所处VLAN的VLAN标识;根据VLAN标识,交换机获取用户终端接入的第一VPN名称;交换机向认证服务器发送第二认证请求,该第二认证请求包括用户终端接入的第一VPN名称;交换机接收认证服务器发送的第一消息,该第一消息包括用户终端对应的用户角色,第一消息为认证服务器判断第一VPN名称与已存储的用户角色绑定的第二VPN名称匹配后发送;根据用户角色,交换机确定用户终端的网络访问权限。
如此,解决现有用户终端接入VPN方案对交换机依赖性高、增加网络部署难度和管理人员操作难度的问题,节省了管理人员在网络部署时的规划和配置任务。
基于同一发明构思,本申请实施例还提供了一种网络设备,如图6所示,包括处理器610、收发器620和机器可读存储介质630,机器可读存储介质630存储有能够被处理器610执行的机器可执行指令,处理器610被机器可执行指令促使执行本申请实施例所提供的访问权限的控制方法。前述图5所示的访问权限的控制装置,可采用如图6所示的网络设备硬件结构实现。
上述计算机可读存储介质630可以包括随机存取存储器(英文:Random AccessMemory,简称:RAM),也可以包括非易失性存储器(英文:Non-volatile Memory,简称:NVM),例如至少一个磁盘存储器。可选的,计算机可读存储介质630还可以是至少一个位于远离前述处理器610的存储装置。
上述处理器610可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例中,处理器610通过读取机器可读存储介质630中存储的机器可执行指令,被机器可执行指令促使能够实现处理器610自身以及调用收发器620执行前述本申请实施例描述的访问权限的控制方法。
另外,本申请实施例提供了一种机器可读存储介质630,机器可读存储介质630存储有机器可执行指令,在被处理器610调用和执行时,机器可执行指令促使处理器610自身以及调用收发器620执行前述本申请实施例描述的访问权限的控制方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
对于访问权限的控制装置以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种访问权限的控制方法,其特征在于,所述方法应用于交换机,所述方法包括:
接收用户终端发送的第一认证请求,所述第一认证请求包括所述用户终端所处VLAN的VLAN标识;
根据所述VLAN标识,获取所述用户终端接入的第一VPN名称;
向认证服务器发送第二认证请求,所述第二认证请求包括所述用户终端接入的第一VPN名称;
接收所述认证服务器发送的第一消息,所述第一消息包括所述用户终端对应的用户角色,所述第一消息为所述认证服务器判断所述第一VPN名称与已存储的用户角色绑定的第二VPN名称匹配后发送;
根据所述用户角色,确定所述用户终端的网络访问权限。
2.根据权利要求1所述的方法,其特征在于,所述接收用户终端发送的第一认证请求之前,所述方法还包括:
接收控制器发送的第一配置指令,所述第一配置指令包括用户角色间网络访问规则以及用户角色与VXLAN之间的映射关系;
所述根据所述用户角色,确定所述用户终端的网络访问权限,具体包括:
根据所述用户角色,获取与所述用户角色关联的用户角色间网络访问规则以及与所述用户角色匹配的VXLAN标识。
3.根据权利要求1所述的方法,其特征在于,所述根据所述VLAN标识,获取所述用户终端接入的第一VPN名称,具体包括:
当所述用户终端处于VLAN组网时,根据所述VLAN标识,查询与所述VLAN标识对应的三层VLAN接口,并获取所述三层VLAN接口下配置的VPN名称;
将所述三层VLAN接口下配置的VPN名称作为所述第一VPN名称。
4.根据权利要求2所述的方法,其特征在于,所述接收用户终端发送的第一认证请求之前,所述方法还包括:
接收所述控制器发送的第二配置指令,所述第二配置指令包括接口信息以及所述VLAN标识与VXLAN标识之间的绑定关系。
5.根据权利要求4所述的方法,其特征在于,所述第一认证请求还包括接入所述VLAN的接口信息;
所述根据所述VLAN标识,获取所述用户终端接入的第一VPN名称,具体包括:
当所述用户终端处于VXLAN组网时,根据所述接口信息以及所述VLAN标识,查询与所述接口信息以及所述VLAN标识对应的VXLAN标识;
根据所述VXLAN标识,确定对应的VXLAN接口;
根据所述VXLAN接口,获取所述VXLAN接口所在VXLAN网关的VPN名称;
将所述VXLAN接口所在VXLAN网关的VPN名称作为所述第一VPN名称。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述认证服务器发送的第二消息;
向所述用户终端发送所述第二消息,以使得所述用户终端根据所述第二消息确定认证失败;
所述第二消息为所述认证服务器判断所述第一VPN名称与已存储的用户角色绑定的第二VPN名称未匹配后发送。
7.一种访问权限的控制装置,其特征在于,所述装置应用于交换机,所述装置包括:
接收单元,用于接收用户终端发送的第一认证请求,所述第一认证请求包括所述用户终端所处VLAN的VLAN标识;
获取单元,用于,根据所述VLAN标识,获取所述用户终端接入的第一VPN名称;
发送单元,用于向认证服务器发送第二认证请求,所述第二认证请求包括所述用户终端接入的第一VPN名称;
所述接收单元还用于,接收所述认证服务器发送的第一消息,所述第一消息包括所述用户终端对应的用户角色,所述第一消息为所述认证服务器判断所述第一VPN名称与已存储的用户角色绑定的第二VPN名称匹配后发送;
确定单元,用于根据所述用户角色,确定所述用户终端的网络访问权限。
8.根据权利要求7所述的装置,其特征在于,所述接收单元还用于,接收控制器发送的第一配置指令,所述第一配置指令包括用户角色间网络访问规则以及用户角色与VXLAN之间的映射关系;
所述确定单元具体用于,根据所述用户角色,获取与所述用户角色关联的用户角色间网络访问规则以及与所述用户角色匹配的VXLAN标识。
9.根据权利要求7所述的装置,其特征在于,所述获取单元具体用于,当所述用户终端处于VLAN组网时,根据所述VLAN标识,查询与所述VLAN标识对应的三层VLAN接口,并获取所述三层VLAN接口下配置的VPN名称;
将所述三层VLAN接口下配置的VPN名称作为所述第一VPN名称。
10.根据权利要求8所述的装置,其特征在于,所述接收单元还用于,接收所述控制器发送的第二配置指令,所述第二配置指令包括接口信息以及所述VLAN标识与VXLAN标识之间的绑定关系。
11.根据权利要求10所述的装置,其特征在于,所述第一认证请求还包括接入所述VLAN的接口信息;
所述获取单元具体用于,当所述用户终端处于VXLAN组网时,根据所述接口信息以及所述VLAN标识,查询与所述接口信息以及所述VLAN标识对应的VXLAN标识;
根据所述VXLAN标识,确定对应的VXLAN接口;
根据所述VXLAN接口,获取所述VXLAN接口所在VXLAN网关的VPN名称;
将所述VXLAN接口所在VXLAN网关的VPN名称作为所述第一VPN名称。
12.根据权利要求7所述的装置,其特征在于,所述接收单元还用于,接收所述认证服务器发送的第二消息;
所述发送单元还用于,向所述用户终端发送所述第二消息,以使得所述用户终端根据所述第二消息确定认证失败;
所述第二消息为所述认证服务器判断所述第一VPN名称与已存储的用户角色绑定的第二VPN名称未匹配后发送。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110629988.8A CN113542094B (zh) | 2021-06-07 | 2021-06-07 | 访问权限的控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110629988.8A CN113542094B (zh) | 2021-06-07 | 2021-06-07 | 访问权限的控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113542094A true CN113542094A (zh) | 2021-10-22 |
| CN113542094B CN113542094B (zh) | 2023-03-31 |
Family
ID=78124572
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110629988.8A Active CN113542094B (zh) | 2021-06-07 | 2021-06-07 | 访问权限的控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113542094B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992476A (zh) * | 2021-11-18 | 2022-01-28 | 北京自如信息科技有限公司 | 一种sslvpn开通方法及装置 |
| CN116827586A (zh) * | 2023-03-07 | 2023-09-29 | 北京火山引擎科技有限公司 | 网络认证方法、装置、存储介质以及电子设备 |
| CN117201135A (zh) * | 2023-09-11 | 2023-12-08 | 合芯科技有限公司 | 业务随行方法、装置、计算机设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110013637A1 (en) * | 2009-07-15 | 2011-01-20 | Hangzhou H3C Technologies Co., Ltd. | Method, System and Gateway for Remotely Accessing MPLS VPN |
| CN101977224A (zh) * | 2010-10-28 | 2011-02-16 | 神州数码网络(北京)有限公司 | 一种基于SSL VPN设备的Web资源认证信息管理方法 |
| US20110060902A1 (en) * | 2009-03-02 | 2011-03-10 | Atsushi Nagata | Vpn connection system and vpn connection method |
| WO2015165325A1 (zh) * | 2014-04-28 | 2015-11-05 | 华为技术有限公司 | 终端安全认证方法、装置及系统 |
| CN107404470A (zh) * | 2016-05-20 | 2017-11-28 | 新华三技术有限公司 | 接入控制方法及装置 |
| CN107528857A (zh) * | 2017-09-28 | 2017-12-29 | 北京东土军悦科技有限公司 | 一种基于端口的认证方法、交换机及存储介质 |
| CN109495362A (zh) * | 2018-12-25 | 2019-03-19 | 新华三技术有限公司 | 一种接入认证方法及装置 |
| CN110086785A (zh) * | 2019-04-12 | 2019-08-02 | 杭州迪普科技股份有限公司 | 基于vpn的用户认证方法和装置 |
-
2021
- 2021-06-07 CN CN202110629988.8A patent/CN113542094B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110060902A1 (en) * | 2009-03-02 | 2011-03-10 | Atsushi Nagata | Vpn connection system and vpn connection method |
| US20110013637A1 (en) * | 2009-07-15 | 2011-01-20 | Hangzhou H3C Technologies Co., Ltd. | Method, System and Gateway for Remotely Accessing MPLS VPN |
| CN101977224A (zh) * | 2010-10-28 | 2011-02-16 | 神州数码网络(北京)有限公司 | 一种基于SSL VPN设备的Web资源认证信息管理方法 |
| WO2015165325A1 (zh) * | 2014-04-28 | 2015-11-05 | 华为技术有限公司 | 终端安全认证方法、装置及系统 |
| CN107404470A (zh) * | 2016-05-20 | 2017-11-28 | 新华三技术有限公司 | 接入控制方法及装置 |
| CN107528857A (zh) * | 2017-09-28 | 2017-12-29 | 北京东土军悦科技有限公司 | 一种基于端口的认证方法、交换机及存储介质 |
| CN109495362A (zh) * | 2018-12-25 | 2019-03-19 | 新华三技术有限公司 | 一种接入认证方法及装置 |
| CN110086785A (zh) * | 2019-04-12 | 2019-08-02 | 杭州迪普科技股份有限公司 | 基于vpn的用户认证方法和装置 |
Non-Patent Citations (3)
| Title |
|---|
| 彭钟: "VPN技术的应用", 《新疆电力》 * |
| 汤金华等: "一种基于VPN的WEP安全加密方案", 《控制工程》 * |
| 陈力凡: "动态VLAN和Guest VLAN技术在校园网中的应用", 《计算机时代》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992476A (zh) * | 2021-11-18 | 2022-01-28 | 北京自如信息科技有限公司 | 一种sslvpn开通方法及装置 |
| CN113992476B (zh) * | 2021-11-18 | 2023-03-24 | 北京自如信息科技有限公司 | 一种sslvpn开通方法及装置 |
| CN116827586A (zh) * | 2023-03-07 | 2023-09-29 | 北京火山引擎科技有限公司 | 网络认证方法、装置、存储介质以及电子设备 |
| CN117201135A (zh) * | 2023-09-11 | 2023-12-08 | 合芯科技有限公司 | 业务随行方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113542094B (zh) | 2023-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113542094B (zh) | 访问权限的控制方法及装置 | |
| JP6648308B2 (ja) | パケット伝送 | |
| JP4555235B2 (ja) | ネットワーク装置、無線ネットワークの使用方法及び無線ネットワーク・セキュリティ方法 | |
| WO2015149568A1 (zh) | 一种快速建立团体通讯群组的方法 | |
| CN101217575B (zh) | 一种在用户终端认证过程中分配ip地址的方法及装置 | |
| US9948647B2 (en) | Method and device for authenticating static user terminal | |
| US20140075505A1 (en) | System and method for routing selected network traffic to a remote network security device in a network environment | |
| CN101668017B (zh) | 一种认证方法和设备 | |
| JP2019515608A (ja) | アクセス制御 | |
| US20130283050A1 (en) | Wireless client authentication and assignment | |
| US20160255086A1 (en) | Access control through dynamic grouping | |
| US11910193B2 (en) | Methods and systems for segmenting computing devices in a network | |
| DE112020000948T5 (de) | Serverbasierte einrichtung für die verbindung eines geräts mit einem lokalen netzwerk | |
| CN107528712A (zh) | 访问权限的确定、页面的访问方法及装置 | |
| CN104468619A (zh) | 一种实现双栈web认证的方法和认证网关 | |
| CN101087236A (zh) | Vpn接入方法和设备 | |
| CN103067531A (zh) | 一种公网ip地址资源管理分配方法 | |
| US20220021675A1 (en) | Method of using dhcp host name to identify a unique device in absense of unique mac address in order to apply network firewall or access control rules | |
| CN109379339B (zh) | 一种Portal认证方法及装置 | |
| CN108076500B (zh) | 局域网管理的方法、装置及计算机可读存储介质 | |
| US20190253891A1 (en) | Portal aggregation service mapping subscriber device identifiers to portal addresses to which connection and authentication requests are redirected and facilitating mass subscriber apparatus configuration | |
| Nguyen et al. | An SDN‐based connectivity control system for Wi‐Fi devices | |
| CN108259420B (zh) | 一种报文处理方法及装置 | |
| US20160021205A1 (en) | Automatic detection of vip guests on wireless networks | |
| CN115834291A (zh) | 分布式内网服务数据获取方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |