一種實現用戶訪問控制的方法
2023-05-19 20:11:26 1
專利名稱:一種實現用戶訪問控制的方法
技術領域:
本發明涉及網際網路通信技術領域,特別涉及一種實現用戶訪問控制的方法。
背景技術:
使用EZvpn (easy Virtual Private Network, easy 虛擬專用網絡)連接時,通常伺服器端會給客戶端分配一個用來訪問私網的IP位址,客戶端可以使用此IP位址對與伺服器連接的私網網絡設備進行訪問。此時伺服器的角色既是私網的網關,又是外網的vpn接入伺服器。此網關設備可配置一個地址池用來給往外vpn客戶端分配IP位址,但無法對每個客戶端進行權限劃分,也就是每個分到IP的客戶端,都可訪問相同的內網設備。可見vpn伺服器端只有對用戶進行用戶名密碼認證和IP位址分配的功能,而沒有權限控制的功能,導致了對用戶無法進行權限控制。
發明內容
(一 )所要解決的技術問題本發明通過提供一種實現用戶訪問控制的方法,解決了 vpn伺服器端對用戶訪問私網無法進行權限控制的問題。( 二 )技術方案本發明提供一種實現用戶訪問控制的方法,該方法包括:SUvpn伺服器端進行配置,所述配置包括私有IP位址池,並對所述地址池中的地址配置訪問策略;S2、vpn客戶端通過驗證後,所述vpn伺服器端給客戶端分配相應配置信息;S3、vpn客戶端通過所述配置信息對私網進行訪問。其中,所述vpn伺服器端進行配置具體包括:所述vpn伺服器端設定超級用戶的個數,並分別配置驗證使用的超級用戶和普通用戶,配置項包括用戶名及密碼,並將所述用戶名密碼與私有IP位址進行——綁定。其中,所述對所述地址池中的地址配置訪問策略包括:對所述地址池中的私有IP位址配置訪問私網的三層訪問控制列表。其中,所述vpn伺服器端給客戶端分配相應配置信息包括:所述vpn伺服器端根據用戶名將IP位址池中與所述用戶名綁定的私有IP位址分配給相應客戶端用戶。(三)有益效果本發明提供了一種實現用戶訪問控制的方法,令用戶名與IP位址進行關聯,將用戶名和對應的IP位址配置一個相應的訪問權限,不同用戶使用不同的用戶名連接vpn伺服器,擁有對私網不同的訪問權限。實現了 vpn伺服器對用戶訪問的權限控制,同時也有效防止了未經授權用戶的網絡非法接入。
圖1為本發明方法的流程圖。
具體實施例方式下面結合附圖和具體實施例對本發明做進一步詳細說明。本發明提供了一種實現用戶訪問控制的方法,vpn伺服器端進行信息配置,當客戶端以EZvpn方式接入vpn伺服器端時,vpn伺服器端會對vpn客戶端進行擴展驗證(xauth),此時vpn客戶端用戶需要將已配置好的用戶名和密碼發送給vpn伺服器進行認證,認證通過後vpn伺服器端會發送vpn客戶端所需要的配置信息,客戶端根據這些信息就可以訪問與vpn伺服器連接的私網。該方法具體包括:SUvpn伺服器端進行配置,所述配置包括私有IP位址池,並對所述地址池中的地址配置訪問策略;在vpn伺服器端,設定超級用戶個數;然後分別配置xauth認證使用的超級用戶和普通用戶,配置項包括用戶名及密碼;在vpn伺服器端,配置用於給客戶端分配使用的私有IP位址池,此地址池中地址個數大於超級用戶個數,vpn伺服器端對IP位址池的前η個地址配置訪問私網的三層訪問控制列表(Access Control List, acl)策略,或者也可以對前η個IP位址的每個地址分別配置訪問策略,然後對地址池第η個地址往後的其他地址配置三層acl策略。將用戶名密碼與IP位址進行——綁定,即一個用戶名對應一個密碼對應一個IP位址。在網絡中,acl可以用來制定網絡策略,對用戶或特定數據流進行控制,如允許某一主機訪問一個網絡,阻止另一主機訪問同樣的網絡,有效防止了未經授權用戶的接入。S2、vpn客戶端通過驗證後,所述vpn伺服器端給客戶端分配相應的配置信息;vpn客戶端連接vpn伺服器,當xauth驗證中已配置好的用戶名和密碼認證通過後,伺服器端根據用戶名將IP位址池中與該用戶名綁定的IP位址分配給vpn客戶端用戶。S3、vpn客戶端通過所述配置信息對私網進行訪問。此時該vpn客戶端用戶利用分配到的IP位址,通過vpn伺服器訪問與vpn伺服器相連的私網,根據步驟SI中對私有IP位址配置好的acl權限對報文進行控制,最終實現對客戶端訪問私網的權限劃分。以上所述僅是本發明的優選實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本發明技術原理的前提下,還可以做出若干改進和替換,這些改進和替換也應視為本發明的保護範圍。
權利要求
1.一種實現用戶訪問控制的方法,其特徵在於,該方法包括: SUvpn伺服器端進行配置,所述配置包括私有IP位址池,並對所述地址池中的地址配置訪問策略; 52、vpn客戶端通過驗證後,所述vpn伺服器端給客戶端分配相應配置信息; 53、vpn客戶端通過所述配置信息對私網進行訪問。
2.如權利要求1所述方法,其特徵在於,所述vpn伺服器端進行配置具體包括:所述vpn伺服器端設定超級用戶的個數,並分別配置驗證使用的超級用戶和普通用戶,配置項包括用戶名及密碼,並將所述用戶名密碼與私有IP位址進行一一綁定。
3.如權利要求1所述方法,其特徵在於,所述對所述地址池中的地址配置訪問策略包括:對所述地址池中的私有IP位址配置訪問私網的三層訪問控制列表。
4.如權利要求1所述方法,其特徵在於,所述vpn伺服器端給客戶端分配相應配置信息包括:所述vpn伺服器端根據用戶名將IP位址池中與所述用戶名綁定的私有IP位址分配給相應客戶端用戶。
全文摘要
本發明提供一種實現用戶訪問控制的方法,該方法包括vpn伺服器端進行配置,所述配置包括私有IP位址池,並對所述地址池中的地址配置訪問策略;vpn客戶端通過驗證後,所述vpn伺服器端給客戶端分配相應配置信息;vpn客戶端通過所述配置信息對私網進行訪問。通過本發明vpn伺服器端對客戶端進行了權限劃分,實現了對客戶端訪問私網的控制。
文檔編號H04L12/46GK103209107SQ20131012060
公開日2013年7月17日 申請日期2013年4月8日 優先權日2013年4月8日
發明者陳海濱 申請人:漢柏科技有限公司