[发明专利]访问权限的控制方法及装置

说明书

本申请提供一种访问权限的控制方法及装置，所述方法应用于交换机，所述方法包括：接收用户终端发送的第一认证请求，所述第一认证请求包括所述用户终端所处VLAN的VLAN标识；根据所述VLAN标识，获取所述用户终端接入的第一VPN名称；向认证服务器发送第二认证请求，所述第二认证请求包括所述用户终端接入的第一VPN名称；接收所述认证服务器发送的第一消息，所述第一消息包括所述用户终端对应的用户角色，所述第一消息为所述认证服务器判断所述第一VPN名称与已存储的用户角色绑定的第二VPN名称匹配后发送；根据所述用户角色，确定所述用户终端的网络访问权限。

技术领域

本申请涉及通信技术领域，尤其涉及一种访问权限的控制方法及装置。

背景技术

微分段是一种基于用户角色控制访问权限策略，认证服务器在用户终端认证通过后向交换机下发用户角色(该用户角色是指使用该用户终端进行认证的用户的角色)，交换机基于下发的角色为用户终端设置各种安全、限速等网络访问策略。

微分段可用于解决业务安全与网络解耦的问题，实现基于角色的控制访问与用户终端接入网络的完全解耦。如图1所示，图1为现有技术中VXLAN组网示意图。在图1中，业务安全由角色决定，而不关心用户终端从哪个VXLAN接入。同一个角色在不同场景接入具有不同VPN的权限。

例如，角色可具体为老师、学生等身份角色。场景可具体为教室区、宿舍区等区域。老师使用用户终端在教室区和宿舍区接入网络所能访问的VPN应该是不同的。

在微分段虚拟局域网(英文：Virtual Local Area Network，简称：VLAN)和静态虚拟扩展局域网(英文：Virtual Extensible Local Area Network，简称：VXLAN)场景下，由于控制器(处于SDN网络内)先创建VPN，然后，在虚拟专用网(英文：Virtual PrivateNetwork，简称：VPN)内再创建角色组，如此仅可控制一个VPN下允许哪些角色的用户终端接入，而无法通过角色控制用户终端应该从哪个VPN接入。因此，需创建一单独的VPN控制策略来决定用户终端访问的VPN，否则，将会导致用户终端在不属于自身的VPN接入时仍然能够上线，且能够访问其VPN下的资源，带来安全隐患，需要实现VPN与用户角色的双层隔离。

在现有用户终端接入VPN方案中，如图2所示，图2为现有技术中用户终端认证过程示意图。

在图2中，管理人员在认证服务器中手工配置用户终端接入的条件。控制器向认证服务器下发角色间访问策略。控制器向交换机下发角色间访问策略、用户角色与VXLAN之间的映射关系。用户终端向交换机发起认证。交换机向认证服务器发送认证请求。若用户终端认证通过，则认证服务器根据认证请求判断用户终端的接入场景，并根据接入场景判断用户终端可以接入的VPN以及用户角色。认证服务器向交换机授权用户角色以及对应用户终端接入的VPN。交换机判断用户终端接入的VPN与授权的VPN是否匹配。若匹配，则交换机建立用户终端的MAC/IP地址与用户角色之间映射关系的ARP表，通过用户角色查找VXLAN，交换机允许用户终端上线并访问网络，否则，交换机禁止用户终端上线。

但是，现有用户终端接入VPN方案也出现下述缺陷：1)角色控制与VPN控制是两个完全独立的控制策略，需要管理人员设定复杂的接入匹配策略，如此，增加了网络部署难度和管理人员的操作难度，降低用户友好性；2)交换机在授权阶段判断用户终端是否具有VPN的访问权限，对交换机依赖性较高。

发明内容

有鉴于此，本申请提供了一种访问权限的控制方法及装置，用以解决现有用户终端接入VPN方案对交换机依赖性高、增加网络部署难度和管理人员操作难度的问题。

第一方面，本申请提供了一种访问权限的控制方法，所述方法应用于交换机，所述方法包括：

接收用户终端发送的第一认证请求，所述第一认证请求包括所述用户终端所处VLAN的VLAN标识；