專利名稱:一種實現(xiàn)用戶訪問控制的方法
技術領域:
本發(fā)明涉及互聯(lián)網(wǎng)通信技術領域,特別涉及一種實現(xiàn)用戶訪問控制的方法�。
背景技術:
使用EZvpn (easy Virtual Private Network, easy 虛擬專用網(wǎng)絡)連接時,通常服務器端會給客戶端分配一個用來訪問私網(wǎng)的IP地址��,客戶端可以使用此IP地址對與服務器連接的私網(wǎng)網(wǎng)絡設備進行訪問�。此時服務器的角色既是私網(wǎng)的網(wǎng)關�����,又是外網(wǎng)的vpn接入服務器�。此網(wǎng)關設備可配置一個地址池用來給往外vpn客戶端分配IP地址�����,但無法對每個客戶端進行權限劃分����,也就是每個分到IP的客戶端,都可訪問相同的內(nèi)網(wǎng)設備��?���?梢妚pn服務器端只有對用戶進行用戶名密碼認證和IP地址分配的功能�,而沒有權限控制的功能,導致了對用戶無法進行權限控制��。
發(fā)明內(nèi)容
(一 )所要解決的技術問題本發(fā)明通過提供一種實現(xiàn)用戶訪問控制的方法����,解決了 vpn服務器端對用戶訪問私網(wǎng)無法進行權限控制的問題����。( 二 )技術方案本發(fā)明提供一種實現(xiàn)用戶訪問控制的方法����,該方法包括:SUvpn服務器端進行配置,所述配置包括私有IP地址池�����,并對所述地址池中的地址配置訪問策略�����;S2����、vpn客戶端通過驗證后����,所述vpn服務器端給客戶端分配相應配置信息;S3��、vpn客戶端通過所述配置信息對私網(wǎng)進行訪問�����。其中,所述vpn服務器端進行配置具體包括:所述vpn服務器端設定超級用戶的個數(shù)��,并分別配置驗證使用的超級用戶和普通用戶�,配置項包括用戶名及密碼,并將所述用戶名密碼與私有IP地址進行——綁定��。其中�,所述對所述地址池中的地址配置訪問策略包括:對所述地址池中的私有IP地址配置訪問私網(wǎng)的三層訪問控制列表。其中���,所述vpn服務器端給客戶端分配相應配置信息包括:所述vpn服務器端根據(jù)用戶名將IP地址池中與所述用戶名綁定的私有IP地址分配給相應客戶端用戶�。(三)有益效果本發(fā)明提供了一種實現(xiàn)用戶訪問控制的方法�,令用戶名與IP地址進行關聯(lián),將用戶名和對應的IP地址配置一個相應的訪問權限��,不同用戶使用不同的用戶名連接vpn服務器���,擁有對私網(wǎng)不同的訪問權限�����。實現(xiàn)了 vpn服務器對用戶訪問的權限控制���,同時也有效防止了未經(jīng)授權用戶的網(wǎng)絡非法接入�����。
圖1為本發(fā)明方法的流程圖���。
具體實施例方式下面結合附圖和具體實施例對本發(fā)明做進一步詳細說明。本發(fā)明提供了一種實現(xiàn)用戶訪問控制的方法��,vpn服務器端進行信息配置�,當客戶端以EZvpn方式接入vpn服務器端時,vpn服務器端會對vpn客戶端進行擴展驗證(xauth),此時vpn客戶端用戶需要將已配置好的用戶名和密碼發(fā)送給vpn服務器進行認證,認證通過后vpn服務器端會發(fā)送vpn客戶端所需要的配置信息�,客戶端根據(jù)這些信息就可以訪問與vpn服務器連接的私網(wǎng)。該方法具體包括:SUvpn服務器端進行配置��,所述配置包括私有IP地址池����,并對所述地址池中的地址配置訪問策略;在vpn服務器端�,設定超級用戶個數(shù)�;然后分別配置xauth認證使用的超級用戶和普通用戶,配置項包括用戶名及密碼���;在vpn服務器端���,配置用于給客戶端分配使用的私有IP地址池����,此地址池中地址個數(shù)大于超級用戶個數(shù)�����,vpn服務器端對IP地址池的前η個地址配置訪問私網(wǎng)的三層訪問控制列表(Access Control List, acl)策略,或者也可以對前η個IP地址的每個地址分別配置訪問策略���,然后對地址池第η個地址往后的其他地址配置三層acl策略�。將用戶名密碼與IP地址進行——綁定�����,即一個用戶名對應一個密碼對應一個IP地址�。在網(wǎng)絡中,acl可以用來制定網(wǎng)絡策略����,對用戶或特定數(shù)據(jù)流進行控制,如允許某一主機訪問一個網(wǎng)絡,阻止另一主機訪問同樣的網(wǎng)絡���,有效防止了未經(jīng)授權用戶的接入����。S2��、vpn客戶端通過驗證后��,所述vpn服務器端給客戶端分配相應的配置信息�����;vpn客戶端連接vpn服務器�,當xauth驗證中已配置好的用戶名和密碼認證通過后,服務器端根據(jù)用戶名將IP地址池中與該用戶名綁定的IP地址分配給vpn客戶端用戶���。S3��、vpn客戶端通過所述配置信息對私網(wǎng)進行訪問��。此時該vpn客戶端用戶利用分配到的IP地址���,通過vpn服務器訪問與vpn服務器相連的私網(wǎng),根據(jù)步驟SI中對私有IP地址配置好的acl權限對報文進行控制,最終實現(xiàn)對客戶端訪問私網(wǎng)的權限劃分��。以上所述僅是本發(fā)明的優(yōu)選實施方式���,應當指出,對于本技術領域的普通技術人員來說�,在不脫離本發(fā)明技術原理的前提下,還可以做出若干改進和替換�����,這些改進和替換也應視為本發(fā)明的保護范圍�。
權利要求
1.一種實現(xiàn)用戶訪問控制的方法,其特征在于���,該方法包括: SUvpn服務器端進行配置�,所述配置包括私有IP地址池��,并對所述地址池中的地址配置訪問策略��; 52����、vpn客戶端通過驗證后,所述vpn服務器端給客戶端分配相應配置信息; 53��、vpn客戶端通過所述配置信息對私網(wǎng)進行訪問�����。
2.如權利要求1所述方法�,其特征在于,所述vpn服務器端進行配置具體包括:所述vpn服務器端設定超級用戶的個數(shù)��,并分別配置驗證使用的超級用戶和普通用戶����,配置項包括用戶名及密碼,并將所述用戶名密碼與私有IP地址進行一一綁定���。
3.如權利要求1所述方法����,其特征在于�,所述對所述地址池中的地址配置訪問策略包括:對所述地址池中的私有IP地址配置訪問私網(wǎng)的三層訪問控制列表�。
4.如權利要求1所述方法���,其特征在于�����,所述vpn服務器端給客戶端分配相應配置信息包括:所述vpn服務器端根據(jù)用戶名將IP地址池中與所述用戶名綁定的私有IP地址分配給相應客戶端用戶��。
全文摘要
本發(fā)明提供一種實現(xiàn)用戶訪問控制的方法�,該方法包括vpn服務器端進行配置��,所述配置包括私有IP地址池����,并對所述地址池中的地址配置訪問策略���;vpn客戶端通過驗證后,所述vpn服務器端給客戶端分配相應配置信息�;vpn客戶端通過所述配置信息對私網(wǎng)進行訪問。通過本發(fā)明vpn服務器端對客戶端進行了權限劃分�,實現(xiàn)了對客戶端訪問私網(wǎng)的控制。
文檔編號H04L12/46GK103209107SQ20131012060
公開日2013年7月17日 申請日期2013年4月8日 優(yōu)先權日2013年4月8日
發(fā)明者陳海濱 申請人:漢柏科技有限公司