[发明专利]访问权限的控制方法及装置

权利要求书

1.一种访问权限的控制方法，其特征在于，所述方法应用于交换机，所述方法包括：

接收用户终端发送的第一认证请求，所述第一认证请求包括所述用户终端所处VLAN的VLAN标识；

根据所述VLAN标识，获取所述用户终端接入的第一VPN名称；

向认证服务器发送第二认证请求，所述第二认证请求包括所述用户终端接入的第一VPN名称；

接收所述认证服务器发送的第一消息，所述第一消息包括所述用户终端对应的用户角色，所述第一消息为所述认证服务器判断所述第一VPN名称与已存储的用户角色绑定的第二VPN名称匹配后发送；

根据所述用户角色，确定所述用户终端的网络访问权限。

2.根据权利要求1所述的方法，其特征在于，所述接收用户终端发送的第一认证请求之前，所述方法还包括：

接收控制器发送的第一配置指令，所述第一配置指令包括用户角色间网络访问规则以及用户角色与VXLAN之间的映射关系；

所述根据所述用户角色，确定所述用户终端的网络访问权限，具体包括：

根据所述用户角色，获取与所述用户角色关联的用户角色间网络访问规则以及与所述用户角色匹配的VXLAN标识。

3.根据权利要求1所述的方法，其特征在于，所述根据所述VLAN标识，获取所述用户终端接入的第一VPN名称，具体包括：

当所述用户终端处于VLAN组网时，根据所述VLAN标识，查询与所述VLAN标识对应的三层VLAN接口，并获取所述三层VLAN接口下配置的一个VPN名称；

将所述三层VLAN接口下配置的一个VPN名称作为所述第一VPN名称。

4.根据权利要求2所述的方法，其特征在于，所述接收用户终端发送的第一认证请求之前，所述方法还包括：

接收所述控制器发送的第二配置指令，所述第二配置指令包括接口信息以及所述VLAN标识与VXLAN标识之间的绑定关系。

5.根据权利要求4所述的方法，其特征在于，所述第一认证请求还包括接入所述VLAN的接口信息；

所述根据所述VLAN标识，获取所述用户终端接入的第一VPN名称，具体包括：

当所述用户终端处于VXLAN组网时，根据所述接口信息以及所述VLAN标识，查询与所述接口信息以及所述VLAN标识对应的VXLAN标识；

根据所述VXLAN标识，确定对应的VXLAN接口；

根据所述VXLAN接口，获取所述VXLAN接口所在VXLAN网关的VPN名称；

将所述VXLAN接口所在VXLAN网关的VPN名称作为所述第一VPN名称。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

接收所述认证服务器发送的第二消息；

向所述用户终端发送所述第二消息，以使得所述用户终端根据所述第二消息确定认证失败；

所述第二消息为所述认证服务器判断所述第一VPN名称与已存储的用户角色绑定的第二VPN名称未匹配后发送。

7.一种访问权限的控制装置，其特征在于，所述装置应用于交换机，所述装置包括：

接收单元，用于接收用户终端发送的第一认证请求，所述第一认证请求包括所述用户终端所处VLAN的VLAN标识；

获取单元，用于，根据所述VLAN标识，获取所述用户终端接入的第一VPN名称；

发送单元，用于向认证服务器发送第二认证请求，所述第二认证请求包括所述用户终端接入的第一VPN名称；

所述接收单元还用于，接收所述认证服务器发送的第一消息，所述第一消息包括所述用户终端对应的用户角色，所述第一消息为所述认证服务器判断所述第一VPN名称与已存储的用户角色绑定的第二VPN名称匹配后发送；

确定单元，用于根据所述用户角色，确定所述用户终端的网络访问权限。