CN107426100B - 一种基于用户组的vpn用户接入方法及装置 - Google Patents
一种基于用户组的vpn用户接入方法及装置 Download PDFInfo
- Publication number
- CN107426100B CN107426100B CN201710754991.6A CN201710754991A CN107426100B CN 107426100 B CN107426100 B CN 107426100B CN 201710754991 A CN201710754991 A CN 201710754991A CN 107426100 B CN107426100 B CN 107426100B
- Authority
- CN
- China
- Prior art keywords
- user
- vpn
- group
- searching
- forwarding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/26—Route discovery packet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种基于用户组的VPN用户接入方法,所述方法包括:在准备阶段:根据用户属性对用户进行分组,并为每个用户组分配对应的VPN;在处理阶段:确定通过认证的用户;查找所述通过认证的用户所属的用户分组;确定查找到的用户分组分配的对应VPN。与现有技术相比,用户无论在任何地方登录,都进入的是用户自身对应的VPN,这样实现属性跟随,方便人员办公,同时也保障了资源安全。
Description
技术领域
本申请涉及计算机通信领域,特别是涉及一种基于用户组的VPN用户接入方法及装置。
背景技术
近年来,随着网络技术的不断发展,VPN(Virtual Private Network,虚拟专用网络)成为目前应用日趋成熟的一种组网技术。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线,来实现私有网络间数据流在公网上的传送。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。常用的VPN技术,例如基于MPLS(Multi-Protocol Label Switching,多协议标签交换技术)的VPN就是通过LSP(Label Switched Path,标签交换路径)将私有网络的不同分支连接起来,形成一个统一的网络。基于MPLS的VPN还支持对不同VPN间的互通控制。基于MPLS的VPN通常由以下三部分组成:CE(Customer Edge,用户边缘设备)可以是路由器,也可以是交换机或主机;PE(Provider Edge,服务提供商边缘路由器)是服务提供商网络的边缘设备,与用户的CE直接相连,对VPN的所有处理都发生在PE上,PE负责对VPN用户进行管理、建立各PE间的LSP连接、同一VPN用户各分支间路由分派;P(Provider,服务提供商网络中的骨干路由器)不与CE直接相连,只需要具备基本MPLS转发能力。
现有的技术方案是PE设备收到报文后,根据报文入接口匹配报文所属VRF(Virtual Routing Forwarding,虚拟路由转发表),然后根据报文目的IP在所属VRF中查找路由表项进行转发。假设现在有行政部和财务部两个部门,以及行政部和财务部对应的服务器资源,要求行政部只能访问行政部的资源,财务部只能访问财务部的资源。则在MPLSVPN部署时,可以将行政部和行政部资源放在同一个VPN中,如行政部VPN;将财务部和财务部资源放在同一个VPN中,如财务部VPN,两个VPN不能互访。如果用户发生了移动,如行政部的人到财务部接入网络后,则会进入财务部VPN,就无法访问行政部的资源,并且可以访问财务部资源。由此可以看出,由于依赖于报文入接口查找所属VRF,即依赖于用户的登录位置,这样用户的登录位置就相对受限,而不能随意登录。
发明内容
有鉴于此,本申请提供一种基于用户组的VPN用户接入方法及装置。
具体地,本申请是通过如下技术方案实现的:
一种基于用户组的VPN用户接入方法,所述方法包括:
在准备阶段:根据用户属性对用户进行分组,并为每个用户组分配对应的VPN;
在处理阶段:
确定通过认证的用户;
查找所述通过认证的用户所属的用户分组;
确定查找到的用户分组分配的对应VPN。
一种基于VPN用户接入方法的报文转发方法,所述方法包括:
在服务提供商边缘路由器设备收到IP报文的情况下,获取用户与用户IP的对应关系;
根据所述用户查找分配的对应VPN;
在所述对应VPN内查找转发表项进行转发;
根据所述收到IP报文信息生成基于用户的转发表项;
在服务提供商边缘路由器设备收到回应报文的情况下,根据所述用户的转发表项,按照预设规则进行转发。
一种基于用户组的VPN用户接入装置,其特征在于,所述装置包括:
VPN分配单元,用于在准备阶段根据用户属性对用户进行分组,并为每个用户组分配对应的VPN;
用户确定单元,用于在处理阶段确定通过认证的用户;
用户分组查找单元,用于在处理阶段查找所述通过认证的用户所属的用户分组;
VPN确定单元,用于在处理阶段确定查找到的用户分组分配的对应VPN。
一种基于VPN用户接入装置的报文转发装置,所述装置包括:
对应关系获取单元,用于在服务提供商边缘路由器设备收到IP报文的情况下,获取用户与用户IP的对应关系;
VPN查找单元,用于根据所述用户查找分配的对应VPN;
IP报文转发单元,用于在所述对应VPN内查找转发表项进行转发;
转发表项生成单元,用于根据所述收到IP报文信息生成基于用户的转发表项;
回应报文转发单元,用于在服务提供商边缘路由器设备收到回应报文的情况下,根据所述用户的转发表项,按照预设规则进行转发。
本方案,在准备阶段根据用户属性对用户进行分组,并为每个用户组分配对应的VPN;在处理阶段,确定通过认证的用户并根据用户所在的分组匹配用户账号所属VPN,更新所述用户与用户IP对应的关系,及所述用户与用户组对应的关系。在服务提供商边缘路由器设备收到IP报文的情况下,先获取用户与用户IP,及用户与用户分组的对应关系,然后根据用户IP找到其所属用户组对应的VPN,然后在VPN内查找转发表项进行转发,根据所述收到IP报文信息生成基于用户的转发表项;在服务提供商边缘路由器设备收到回应报文的情况下,根据VPN标签找到VRF后,根据目的IP优先查找基于用户的转发表项进行转发。与现有技术方案相比,用户无论在任何地方登录,都进入的是用户自身对应的VPN,这样实现属性跟随,方便人员办公,同时也保障了资源安全。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请一示例性实施例示出的一种基于用户组的VPN用户接入方法中的处理阶段实施流程图;
图2是本申请一示例性实施例示出的一种基于VPN用户接入方法的报文转发方法实施流程图;
图3是本申请一示例性实施例示出的一种基于用户组的VPN用户接入装置的结构示意图;
图4是本申请一示例性实施例示出的一种基于VPN用户接入装置的报文转发装置结构示意图。
具体实施方式
首先对本发明实施例所提供的一种基于用户组的VPN用户接入方法进行说明,该方法可以包括以下步骤:
在准备阶段:根据用户属性对用户进行分组,并为每个用户组分配对应的VPN;
在处理阶段:
确定通过认证的用户;
查找所述通过认证的用户所属的用户分组;
确定查找到的用户分组分配的对应VPN。
其中,在统一用户管理平台内,统一管理用户与用户IP的对应关系,用户与用户组的对应关系,并实时更新,在MPLS网络中,PE设备可以获取用户与用户IP的对应关系,用户与用户组的对应关系。用户与用户IP的对应关系及用户与用户组的对应关系,具体如表格1所示,当然这里列举的表格仅仅是示例性的。
用户 | 用户IP | 用户组 |
Zhangsan | 10.1.1.2 | 财务部组 |
Lisi | 10.2.2.3 | 行政部组 |
表1
为了使本领域技术人员更好的理解本发明中的技术方案,这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明一种基于用户组的VPN用户接入方法,包括准备阶段和处理阶段两部分,下面分别对准备阶段和处理阶段进行说明,准备阶段具体包括以下步骤:
在准备阶段:
根据用户属性对用户进行分组,并为每个用户组分配对应的VPN;
需要值得注意的是准备阶段在本方案中只需要执行一次,即提前为用户进行分组,并为每个用户组分配对应的VPN。假如有新用户加入或者删除现有用户,只需将新用户按照用户属性分配到现有的用户分组中,或将现有用户从现有的用户分组中删除即可。
前面提到所述统一用户管理平台,在该平台内为每个用户分发账号和密码,且每个用户的账号和密码在该平台内已预先存储好,如为张三分配的账号和密码分别对应“admin”、“password”。然后根据用户属性对用户进行分组,这里我们假设根据用户属性对用户自身对应的账号进行用户分组。所谓的用户属性可以是用户自身所属的部门,也可以是用户本身的职务,当然也可以是其它属性,不仅仅限于这里提到的用户属性。最后为每个用户组分配对应的VPN,意味着每个用户自动匹配到自身所属VPN。
假设公司现在有财务部和行政部两个部门,以及对应财务部和行政部的服务器资源,张三隶属于财务部,李四隶属于行政部。先为张三和李四分发账号和密码,例如张三的账号和密码是“aaa”、“123”,李四的账号和密码是“bbb”、“234”。张三隶属于财务部,李四隶属于行政部,这里可以根据张三、李四隶属于不同部门,即前面提到的用户属性可以是用户所属的部门,根据用户所属的部门对用户的账号进行分组,当然不仅限于此,也可以根据用户其它属性对用户的账号进行分组,这里不再一一赘述。由此可知,张三的账号被分到财务部组,李四的账号被分到行政部组。根据财务部组和行政部组分配对应的财务部组VPN和行政部组VPN,两个VPN不能互访,其具体下表2所示:
用户组 | VPN |
财务部组 | 财务部组VPN |
行政部组 | 行政部组VPN |
表2
相应的如果张三既隶属于行政部,张三本身又同时是公司行政部主管,则我们可以对用户的账号划分三个用户组,分别是主管组、行政部组、财务部组,每个组对应一个VPN,意味着张三的账号可以属于主管组和财务部组,即同一个人可属于多个用户组。
如图1所示,为本发明一种基于用户组的VPN用户接入方法中的处理阶段实施流程图,其具体包括以下步骤:
在处理阶段:
S101,确定通过认证的用户;
前面提到统一用户管理平台会为每个用户分配账号和密码,意味着每个用户会拥有自己专属的账号和密码。为了保证公司的服务器资源安全,需要所有用户在接入网络前根据用户的账号和密码进行认证,因为每个用户都拥有自己专属的账号和密码,所以经过公司内部实名认证以后方可以接入网络。当然认证方法不仅限于此,这里不再一一赘述。
在统一用户管理平台内,预先存储好用户的账号和密码,例如张三的账号和密码是“aaa”、“123”,李四的账号和密码是“bbb”、“234”,则在统一用户管理平台内会预先存储好张三和李四的账号和密码。用户在接入网络,登录统一用户管理平台时,统一用户管理平台会确定用户输入账号、密码与预先设置的账号和密码是否一致。
S102,查找所述通过认证的用户所属的用户分组;
用户通过自己专属的账号和密码登录统一用户管理平台且认证通过,例如李四使用自己的账号、密码登录统一用户管理平台,李四的账号和密码分别是“bbb”、“234”,当然这里的认证方式也可以是传统的认证方式,例如用户的账号可以是用户自己的微信账号或者是QQ账号,也可以是用户自身的其它账号,这里不再一一赘述。根据前面提到的根据用户属性对用户账号进行分组可知,李四的账号被划分到行政部组。当李四使用自己的账号和密码登录统一用户管理平台时,统一用户管理平台会根据李四的账号将李四自动划分到行政部组。由此可知,根据用户的账号和用户分组的对应关系,用户登录统一用户管理平台时,会自动将用户划分到用户对应的用户分组,当然用户可以被划分到多个用户分组中。
S103,确定查找到的用户分组分配的对应VPN。
统一用户管理平台根据李四的账号将李四自动划分到行政部组,通过前面提到的为每个用户组分配对应的VPN,由于在准备阶段已经为财务部组分配对应的财务部组VPN,则统一用户管理平台会根据财务部组将李四的账号自动划分到行政部组VPN中。由此可知,根据用户分组和用户组分配的对应VPN的对应关系,统一用户管理平台会根据用户所属的用户分组将用户划分到用户分组分配的对应VPN中。
如图2所示,基于上述的VPN用户接入方法,在实际进行报文转发时,对应的报文转发方法包括以下步骤:
S201,在服务提供商边缘路由器设备收到IP报文的情况下,获取用户与用户IP的对应关系;
在背景技术中提到基于MPLS的VPN就是通过LSP将私有网络的不同分支连接起来,形成一个统一的私有网络。MPLS VPN私有网络由三部分组成:CE用户网络边缘设备、PE服务提供商边缘路由器、P服务提供商网络中的骨干路由器。其中在MPLS网络中,对VPN的所有处理都发生在PE上,PE设备负责对VPN用户进行管理。因此可知服务提供商边缘路由器负责对报文进行转发,报文分为IP报文、回应报文。在服务提供商边缘路由器设备收到IP报文的情况下,服务提供商边缘路由器设备会从统一用户管理平台获取用户与用户IP的对应关系,例如前面提到的用户张三的IP是10.1.1.2,用户李四的IP是10.2.2.3,则服务提供商边缘路由器设备会从统一用户管理平台获取到张三用户账号与用户IP的对应关系及李四用户账号与用户IP的对应关系。在报文信息中会存放用户IP,即源IP,根据获取到的源IP找到对应的用户账号,如获取到的源IP为10.1.1.2,服务提供商边缘路由器根据10.1.1.2找到张三的账号。
S202,根据所述用户查找分配的对应VPN;
基于用户组的VPN用户接入方法,服务提供商边缘路由器根据用户IP找到用户对应的用户账号,根据用户账号找到对应的用户分组,这里用户账号可以对应一个或多个用户分组,然后根据用户分组找到分配的对应VPN。根据用户账号对用一个用户分组,然后用户分组找到对应的分配的对应VPN;根据用户对应的多个用户分组,通过查找用户分组的权限,从多个用户分组中查找权限最高的用户分组,然后根据权限最高的用户分组查找分配的对应VPN。例如服务提供商边缘路由器根据用户IP10.1.1.2找到张三的账号,根据张三的账号查找到张三的账号所属的财务部组,相应的张三的账号同时又属于主管组,根据张三的账号又可以查找到张三的账号所属的主管组,根据用户所属用户分组的权限不同,确定查找到的用户分组中权限最高的用户分组,假设这里主管组的权限高于财务部组的权限,将张三的账号划分到主管组,然后根据主管组找到分配的对应主管组VPN。
S203,在所述对应VPN内查找转发表项进行转发;
服务提供商边缘路由器根据用户分组查找分配的对应VPN,在该VPN所属的VRF内,根据目的IP地址查找转发表项进行转发。例如服务提供商边缘路由器根据李四的账号所属的行政部组查找到分配的对应行政部组VPN,一般地在VPN内,有多个VRF,即存在多个虚拟路由转发表,这里将VRF分别命名为VRF1、VRF2……,服务提供商边缘路由器根据目的IP,例如10.3.3.1,在所属VRF1内查找转发表项进行转发。服务提供商边缘路由器根据张三的账号所属的财务部组和主管组查找到分配的对应财务部组VPN和主管组VPN,根据主管组和财务部组的权限不同,即主管组的权限高于财务部组,根据目的IP地址在主管组VPN内所属的VRF内查找转发表项进行转发。
S204,根据所述收到IP报文信息生成基于用户的转发表项;
一般报文会携带源IP、目的IP、源MAC地址(Media Access Control,物理地址)、目的MAC地址等信息,服务提供商边缘路由器根据这些报文信息生成基于用户的转发表项。假设现在服务提供商边缘路由器收到两条IP报文,报文信息分别如下表3所示。
表3
基于上述报文信息的源IP,可以知道10.1.1.2对应的用户是张三,10.2.2.3对应的用户是李四,并且源IP10.1.1.2对应的IP报文1是在VRF1内查找路由转发表项进行转发的,报文出接口是Gige0_0,源IP10.2.2.3对应的IP报文2是在VRF2内查找路由转发表项进行转发的,报文出接口是Gige0_0。基于以上信息,当然也不仅限于此类消息,也可以是其它消息,例如VLAN(Virtual Local Area Network)信息,生成基于用户的转发表项,如下表4所示,这里列举的表格仅仅是示例性的。
表4
根据IP报文信息生成的基于用户的转发表项,每次服务提供商边缘路由器收到IP报文,提取出报文信息后,将报文信息与现有的基于用户的转发表项信息进行比较,若信息完全一样,则无需生成新的基于用户的转发表项,否则根据提取的新报文信息生成新的基于用户的转发表项。
S205,在服务提供商边缘路由器设备收到回应报文的情况下,根据所述用户的转发表项,按照预设规则进行转发。
在服务提供商边缘路由器设备收到回应报文的情况下,所述回应报文即带标签的MPLS报文,首先根据VPN标签找到对应的VRF,然后根据目的IP优先查找基于用户的转发表项进行转发,若基于用户的转发表项不存在,则继续在对应VRF内查找路由转发表项,按照背景技术中提到的现有技术进行转发。
服务提供商边缘路由器设备根据VPN标签找到对应的VRF1,这里的目的IP即用户转发表项中存放的用户源IP,也就是10.1.1.2。然后根据目的IP10.1.1.2优先查找基于用户的转发表项进行转发。根据目的IP10.1.1.2可知查找到的转发表项是属于张三这一栏,根据用户转发表项中的信息,如源MAC地址,将回应报文转发给用户张三。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
与前述一种基于用户组的VPN用户接入方法的实施例相对应,本申请还提供了一种基于用户组的VPN用户接入装置的实施例,如图3所示,包括VPN分配单元300、用户确定单元310、用户分组查找单元320、VPN确定单元330:
所述VPN分配单元300,用于在准备阶段根据用户属性对用户进行分组,并为每个用户组分配对应的VPN;
所述用户确定单元310,用于在处理阶段确定通过认证的用户,并将通过认证的用户发送给用户分组查找单元320;
所述用户分组查找单元320,用于在处理阶段查找所述通过认证的用户所属的用户分组,并将查找到的用户分组发送给VPN确定单元330;
所述VPN确定单元330,用于在处理阶段确定查找到的用户分组分配的对应VPN。
与前述一种基于VPN用户接入方法的报文转发方法的实施例相对应,本申请还提供了一种基于VPN用户接入装置的报文转发装置的实施例,如图4所示,包括对应关系获取单元410、VPN查找单元420、IP报文转发单元430、转发表项生成单元440、回应报文转发单元450;
所述对应关系获取单元410,用于在服务提供商边缘路由器设备收到IP报文的情况下,获取用户与用户IP的对应关系,并将用户IP对应的用户发送给VPN查找单元420,同时将IP报文信息发送给转发表项生成单元440;
所述VPN查找单元420,用于根据所述用户查找分配的对应VPN,并将查找到的对应VPN发送给IP报文转发单元430;
IP报文转发单元430,用于在所述对应VPN内查找转发表项进行转发;
转发表项生成单元440,用于根据所述收到IP报文信息生成基于用户的转发表项,并将生成的基于用户的转发表项发送给回应报文转发单元450;
回应报文转发单元450,用于在服务提供商边缘路由器设备收到回应报文的情况下,根据所述用户的转发表项,按照预设规则进行转发。
上述***中各个单元的作用实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于***实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的***实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本发明可以在由计算机执行的计算值可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
以上所述仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种基于用户组的VPN用户接入方法,用于使用户通过用户所在位置的服务提供商边缘路由器设备接入用户被分配的VPN,其特征在于,所述方法包括:
在准备阶段:根据用户属性对用户进行分组,并为每个用户组分配对应的VPN;统一用户管理平台管理用户与用户组的对应关系;
在处理阶段:
确定通过认证的用户,所述用户连接到服务提供商边缘路由器设备并接入所述统一用户管理平台进行认证,所述服务提供商边缘路由器设备属于所述用户所在位置的VPN;
所述统一用户管理平台查找所述通过认证的用户所属的用户分组;
所述统一用户管理平台确定查找到的用户分组分配的对应VPN,以便于执行以下步骤:
在服务提供商边缘路由器设备收到IP报文的情况下,从所述统一用户管理平台获取用户与用户IP的对应关系;根据所述用户查找分配的对应VPN;在所述对应VPN内查找转发表项进行转发;根据所述IP报文信息生成基于用户的转发表项;在服务提供商边缘路由器设备收到回应报文的情况下,根据所述用户的转发表项,按照预设规则将回应报文转发到所述用户。
2.根据权利要求1所述的方法,其特征在于,所述通过认证的用户,包括:
在接入网络前通过认证的用户。
3.根据权利要求1所述的方法,其特征在于,所述查找所述通过认证的用户所属的用户分组,包括:
查找所述通过认证的用户所属的一个或多个用户分组。
4.根据权利要求1所述的方法,其特征在于,所述根据所述用户查找分配的对应VPN,包括:
根据用户查找用户所属的一个用户组,按照用户分组查找分配的对应VPN;
或
根据用户查找用户所属的多个用户组,通过查找用户分组权限,从所述多个用户分组中查找到目标用户组,然后根据目标用户分组查找分配的对应VPN。
5.根据权利要求1所述的方法,其特征在于,所述在服务提供商边缘路由器设备收到回应报文的情况下,根据所述用户的转发表项,按照预设规则进行转发,包括:
在服务提供商边缘路由器设备收到回应报文的情况下,先根据VPN标签找到对应的VRF,然后根据目的IP查找所述对应的用户转发表项进行转发。
6.一种基于用户组的VPN用户接入装置,用于使用户通过用户所在位置的服务提供商边缘路由器设备接入用户被分配的VPN,其特征在于,所述装置包括:
VPN分配单元,用于在准备阶段根据用户属性对用户进行分组,并为每个用户组分配对应的VPN;用户与用户组的对应关系由统一用户管理平台管理;
用户确定单元,用于在处理阶段确定通过认证的用户,所述用户连接到服务提供商边缘路由器设备并接入所述统一用户管理平台进行认证,所述服务提供商边缘路由器设备属于所述用户所在位置的VPN;
用户分组查找单元,用于使所述统一用户管理平台在处理阶段查找所述通过认证的用户所属的用户分组;
VPN确定单元,用于在处理阶段确定查找到的用户分组分配的对应VPN,以便于执行以下步骤:
在服务提供商边缘路由器设备收到IP报文的情况下,从所述统一用户管理平台获取用户与用户IP的对应关系;根据所述用户查找分配的对应VPN;在所述对应VPN内查找转发表项进行转发;根据所述IP报文信息生成基于用户的转发表项;在服务提供商边缘路由器设备收到回应报文的情况下,根据所述用户的转发表项,按照预设规则将回应报文转发到所述用户。
7.根据权利要求6所述的装置,其特征在于,所述用户分组查找单元,具体用于:
查找所述通过认证的用户所属的一个或多个用户分组。
8.根据权利要求6所述的装置,其特征在于,所述回应报文转发单元,具体用于:在服务提供商边缘路由器设备收到回应报文的情况下,先根据VPN标签找到对应的VRF,然后根据目的IP查找所述对应的用户转发表项进行转发。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710754991.6A CN107426100B (zh) | 2017-08-29 | 2017-08-29 | 一种基于用户组的vpn用户接入方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710754991.6A CN107426100B (zh) | 2017-08-29 | 2017-08-29 | 一种基于用户组的vpn用户接入方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107426100A CN107426100A (zh) | 2017-12-01 |
CN107426100B true CN107426100B (zh) | 2020-10-02 |
Family
ID=60435180
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710754991.6A Active CN107426100B (zh) | 2017-08-29 | 2017-08-29 | 一种基于用户组的vpn用户接入方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107426100B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109614781A (zh) * | 2018-11-12 | 2019-04-12 | 平安科技(深圳)有限公司 | 一种账号管理方法、***及终端设备 |
CN111953599B (zh) * | 2020-07-14 | 2022-06-21 | 锐捷网络股份有限公司 | 一种终端权限控制方法、装置、电子设备及存储介质 |
CN113992476B (zh) * | 2021-11-18 | 2023-03-24 | 北京自如信息科技有限公司 | 一种sslvpn开通方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101197761A (zh) * | 2006-12-05 | 2008-06-11 | 中兴通讯股份有限公司 | 虚拟专网服务中用户分组互通/隔离方法 |
JP4341073B2 (ja) * | 2005-04-25 | 2009-10-07 | 日本電気株式会社 | 仮想閉域網システム、サーバ、ユーザ端末、アクセス方法、プログラム及び記録媒体 |
CN101599901A (zh) * | 2009-07-15 | 2009-12-09 | 杭州华三通信技术有限公司 | 远程接入mpls vpn的方法、***和网关 |
-
2017
- 2017-08-29 CN CN201710754991.6A patent/CN107426100B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4341073B2 (ja) * | 2005-04-25 | 2009-10-07 | 日本電気株式会社 | 仮想閉域網システム、サーバ、ユーザ端末、アクセス方法、プログラム及び記録媒体 |
CN101197761A (zh) * | 2006-12-05 | 2008-06-11 | 中兴通讯股份有限公司 | 虚拟专网服务中用户分组互通/隔离方法 |
CN101599901A (zh) * | 2009-07-15 | 2009-12-09 | 杭州华三通信技术有限公司 | 远程接入mpls vpn的方法、***和网关 |
Non-Patent Citations (1)
Title |
---|
分布式VPN技术研究-管理模块的设计与实现;***;《中国优秀硕士学位论文全文数据库 信息科技辑》;20050315;正文第3章 * |
Also Published As
Publication number | Publication date |
---|---|
CN107426100A (zh) | 2017-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10469442B2 (en) | Adaptive resolution of domain name requests in virtual private cloud network environments | |
US11063819B2 (en) | Managing use of alternative intermediate destination computing nodes for provided computer networks | |
EP3248328B1 (en) | A data driven orchestrated network using a light weight distributed sdn controller | |
US9491002B1 (en) | Managing communications involving external nodes of provided computer networks | |
US8224931B1 (en) | Managing use of intermediate destination computing nodes for provided computer networks | |
US9973379B1 (en) | Managing integration of external nodes into provided computer networks | |
CN103580980B (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
US8194570B2 (en) | Configuration tool for MPLS virtual private network topologies | |
US20170257269A1 (en) | Network controller with integrated resource management capability | |
JP5038887B2 (ja) | ネットワークを管理するシステムおよび方法 | |
US11252126B1 (en) | Domain name resolution in environment with interconnected virtual private clouds | |
CN208656813U (zh) | 一种企业分支机构访问请求处理*** | |
US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
CN104104534A (zh) | 一种虚拟网络管理的实现方法和*** | |
EP3449597A1 (en) | A data driven orchestrated network using a voice activated light weight distributed sdn controller | |
CN107171857B (zh) | 一种基于用户组的网络虚拟化方法和装置 | |
WO2018000890A1 (zh) | 用于实现组合虚拟专用网vpn的方法与装置 | |
CN107426100B (zh) | 一种基于用户组的vpn用户接入方法及装置 | |
US20090092140A1 (en) | Method and apparatus for providing a hierarchical structure for routing | |
CN105939267B (zh) | 带外管理方法及装置 | |
EP3687117B1 (en) | Systems and methods for isolating network traffic of multiple users across networks of computing platforms | |
CN106549936A (zh) | 一种基于多路vpn负载均衡的扫描器反溯源方法和设备 | |
US11290354B2 (en) | Dynamic service provisioning system and method | |
CN108768861B (zh) | 一种发送业务报文的方法及装置 | |
EP3836487A1 (en) | Internet access behavior management system, device and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |