[发明专利]网络访问控制的实现方法及装置

说明书

本申请提供一种网络访问控制的实现方法及装置，其中，该方法应用于汇聚交换机，该方法包括：在本设备上配置ACL规则，该ACL规则中包括：被禁止的报文的源IP地址所属的第一网段和目的IP地址所属的第二网段，其中，第一网段和第二网段为与同一用户组对应的网段，或者，第一网段和第二网段为与不同用户组对应的网段，或者，第一网段为与用户组对应的网段、第二网段为与资源组对应的网段；接收到接入交换机发来的用户报文之后，将该用户报文的源IP地址与该ACL规则中的第一网段进行匹配，并将该用户报文的目的IP地址与该ACL规则中的第二网段进行匹配；若均匹配，则丢弃该用户报文。

技术领域

本申请涉及网络通信技术领域，特别涉及一种网络访问控制的实现方法及装置。

背景技术

在企业网络中，出于信息安全的考虑，通常会对用户进行分类，将所有用户划分成多个用户组。同一用户组内的用户拥有相同的网络访问权限，不同用户组内的用户拥有不同的网络访问权限。例如，按照用户身份，将所有用户分成研发人员、市场人员、财务人员等多个用户组，限定研发人员允许访问数据中心服务器1中的技术资料，而市场人员和财务人员禁止访问该数据中心服务器1；或者分成学生、老师、学校领导等多个用户组，限定老师允许访问数据中心服务器2中的课件，而学生禁止访问该数据中心服务器2。

具体的，预先在接入交换机上配置VLAN(Virtual Local Area Network，虚拟局域网)和ACL(Access Control List，访问控制列表)规则，不同的ACL规则用于限定不同VLAN对应的网络访问权限。当某一用户进行接入认证时，认证服务器确定该用户所属的用户组，然后，根据该用户组和该用户连接的接入交换机(即该用户的接入位置)等信息，为该用户分配对应的VLAN，并将该VLAN发送给该接入交换机；该接入交换机接收到该VLAN之后，将本设备上连接该用户的用户端口加入到该VLAN中。后续，该接入交换机就会按照用于限定该VLAN对应的网络访问权限的ACL规则，对该用户发出的报文进行网络访问控制。

发明内容

有鉴于此，本申请提供一种网络访问控制的实现方法及装置。

具体地，本申请是通过如下技术方案实现的：

一方面，提供了一种网络访问控制的实现方法，该方法应用于汇聚交换机，该方法包括：

在本设备上配置ACL规则，该ACL规则中包括：被禁止的报文的源IP地址所属的第一网段和目的IP地址所属的第二网段，其中，第一网段和第二网段为与同一用户组对应的网段，或者，第一网段和第二网段为与不同用户组对应的网段，或者，第一网段为与用户组对应的网段、第二网段为与资源组对应的网段；

接收到接入交换机发来的用户报文之后，将该用户报文的源IP地址与该ACL规则中的第一网段进行匹配，并将该用户报文的目的IP地址与该ACL规则中的第二网段进行匹配；其中，该用户报文的源IP地址为与该用户所属用户组绑定的VLAN所对应的网段中的IP地址；

若均匹配，则丢弃该用户报文。

另一方面，还提供了一种网络访问控制的实现装置，该装置应用于汇聚交换机，该装置包括：

配置模块，用于在本设备上配置ACL规则，该ACL规则中包括：被禁止的报文的源IP地址所属的第一网段和目的IP地址所属的第二网段，其中，第一网段和第二网段为与同一用户组对应的网段，或者，第一网段和第二网段为与不同用户组对应的网段，或者，第一网段为与用户组对应的网段、第二网段为与资源组对应的网段；

接收模块，用于接收接入交换机发来的用户报文；

匹配模块，用于在接收模块接收到接入交换机发来的用户报文之后，将该用户报文的源IP地址与该ACL规则中的第一网段进行匹配，并将该用户报文的目的IP地址与该ACL规则中的第二网段进行匹配；其中，该用户报文的源IP地址为与该用户所属用户组绑定的VLAN所对应的网段中的IP地址；