[发明专利]一种实现用户访问控制的方法

说明书

技术领域

本发明涉及互联网通信技术领域，特别涉及一种实现用户访问控制的方法。

背景技术

使用EZvpn(easy Virtual Private Network，easy虚拟专用网络)连接时，通常服务器端会给客户端分配一个用来访问私网的IP地址，客户端可以使用此IP地址对与服务器连接的私网网络设备进行访问。此时服务器的角色既是私网的网关，又是外网的vpn接入服务器。此网关设备可配置一个地址池用来给往外vpn客户端分配IP地址，但无法对每个客户端进行权限划分，也就是每个分到IP的客户端，都可访问相同的内网设备。

可见vpn服务器端只有对用户进行用户名密码认证和IP地址分配的功能，而没有权限控制的功能，导致了对用户无法进行权限控制。

发明内容

(一)所要解决的技术问题

本发明通过提供一种实现用户访问控制的方法，解决了vpn服务器端对用户访问私网无法进行权限控制的问题。

(二)技术方案

本发明提供一种实现用户访问控制的方法，该方法包括：

S1、vpn服务器端进行配置，所述配置包括私有IP地址池，并对所述地址池中的地址配置访问策略；

S2、vpn客户端通过验证后，所述vpn服务器端给客户端分配相应配置信息；

S3、vpn客户端通过所述配置信息对私网进行访问。

其中，所述vpn服务器端进行配置具体包括：所述vpn服务器端设定超级用户的个数，并分别配置验证使用的超级用户和普通用户，配置项包括用户名及密码，并将所述用户名密码与私有IP地址进行一一绑定。

其中，所述对所述地址池中的地址配置访问策略包括：对所述地址池中的私有IP地址配置访问私网的三层访问控制列表。

其中，所述vpn服务器端给客户端分配相应配置信息包括：所述vpn服务器端根据用户名将IP地址池中与所述用户名绑定的私有IP地址分配给相应客户端用户。

(三)有益效果

本发明提供了一种实现用户访问控制的方法，令用户名与IP地址进行关联，将用户名和对应的IP地址配置一个相应的访问权限，不同用户使用不同的用户名连接vpn服务器，拥有对私网不同的访问权限。实现了vpn服务器对用户访问的权限控制，同时也有效防止了未经授权用户的网络非法接入。

附图说明

图1为本发明方法的流程图。

具体实施方式

下面结合附图和具体实施例对本发明做进一步详细说明。

本发明提供了一种实现用户访问控制的方法，vpn服务器端进行信息配置，当客户端以EZvpn方式接入vpn服务器端时，vpn服务器端会对vpn客户端进行扩展验证(xauth)，此时vpn客户端用户需要将已配置好的用户名和密码发送给vpn服务器进行认证，认证通过后vpn服务器端会发送vpn客户端所需要的配置信息，客户端根据这些信息就可以访问与vpn服务器连接的私网。该方法具体包括：

S1、vpn服务器端进行配置，所述配置包括私有IP地址池，并对所述地址池中的地址配置访问策略；

在vpn服务器端，设定超级用户个数；然后分别配置xauth认证使用的超级用户和普通用户，配置项包括用户名及密码；

在vpn服务器端，配置用于给客户端分配使用的私有IP地址池，此地址池中地址个数大于超级用户个数，vpn服务器端对IP地址池的前n个地址配置访问私网的三层访问控制列表(Access Control List，acl)策略，或者也可以对前n个IP地址的每个地址分别配置访问策略，然后对地址池第n个地址往后的其他地址配置三层acl策略。

将用户名密码与IP地址进行一一绑定，即一个用户名对应一个密码对应一个IP地址。

在网络中，acl可以用来制定网络策略，对用户或特定数据流进行控制，如允许某一主机访问一个网络，阻止另一主机访问同样的网络，有效防止了未经授权用户的接入。

S2、vpn客户端通过验证后，所述vpn服务器端给客户端分配相应的配置信息；

vpn客户端连接vpn服务器，当xauth验证中已配置好的用户名和密码认证通过后，服务器端根据用户名将IP地址池中与该用户名绑定的IP地址分配给vpn客户端用户。

S3、vpn客户端通过所述配置信息对私网进行访问。

此时该vpn客户端用户利用分配到的IP地址，通过vpn服务器访问与vpn服务器相连的私网，根据步骤S1中对私有IP地址配置好的acl权限对报文进行控制，最终实现对客户端访问私网的权限划分。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和替换，这些改进和替换也应视为本发明的保护范围。