一种控制私网用户访问权限的方法 【技术领域】
本发明涉及网络访问的控制技术,具体涉及一种控制私网用户访问权限的方法。
背景技术
随着网络,尤其是网络经济的发展,许多企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下,虚拟私有网络(VPN,Virtual Private Network)以其独具特色的优势赢得了越来越多地企业的青睐。利用公共网络来构建的私人专用网络称为虚拟私有网络,利用这种技术可以在公共网络中保证私有数据的安全性、专有性,同时可提供管理性、扩展性和灵活性。VPN分为三种类型:远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),每个VPN对应一个VPN路由/转发实例(VRF,VPN Routing & Forwarding Instances),一个VRF定义了同VPN业务供应商边缘路由器(PE,Private Edge)相连的客户站点的VPN成员资格。VPN的用户通过与VPN业务供应商相连的边缘路由器(CE,CustomEdge),由PE转发数据报文,通过在PE上配置CE访问公网的权限来控制私网用户访问公网。
现有技术是根据VRF绑定的私网接口,即PE上和CE相连的接口来控制私网用户访问公网。VRF存在于PE上,在PE上,针对每一个用户连接都创建一个与之对应的VRF,一个VRF包括一张路由表和一张转发表、一组使用这个VRF的接口集合以及一组与之相关的策略。在PE上,来自CE的报文根据相应的VRF来进行转发,分离的路由表防止了数据泄露出VPN之外,同时也防止了VPN之外的数据泄入。通常,在绑定的私网接口上配置访问公网的命令,并通过向绑定的私网接口下发访问公网的数据标志位来决定此私网接口是否具有访问公网的权限。要转发到公网的VPN用户的数据报文在查公网的转发表前会先判断绑定的私网接口是否具有访问公网的权限,只有通过具有访问公网权限的私网接口的连接才能访问公网,从而达到控制私网用户访问公网的目的。
一般一个私网接口连接的都是一个用户站点,用户站点的VRF中的数据包含了其所在的VPN中所有可能连到该站点的路由。通过接口控制只能起到限制其它用户站点的用户通过此私网接口访问公网,而与此私网接口相连的本用户站点的所有用户都拥有同样的权限,都可以通过此私网接口访问公网。为了保证VPN的安全性,在一个用户站点中,往往需要指定只有符合特定身份要求的用户才能有连接公网的权利,因此采用上述接口控制私网用户访问权限的方法就很难实现。
【发明内容】
本发明的目的在于克服上述现有技术的缺点,提供一种根据虚拟私有网络用户的源IP地址及所属VRF来控制虚拟私有网络中用户访问权限的方法,使一个用户站点中只有有访问权限的用户才能访问公网。
本发明提供了一种控制私网用户访问权限的方法,所述方法包括:
配置允许VPN用户访问公网的数据报文的识别信息;
判断请求访问公网的所述VPN用户的数据报文携带的信息与所述配置的允许VPN用户访问公网的数据报文的识别信息是否相匹配;
如果匹配,转发所述请求访问公网的所述VPN用户的数据报文,
如果不匹配,丢弃所述请求访问公网的所述VPN用户的数据报文。
可选地,在VPN业务供应商的边缘路由器上配置允许VPN用户访问公网的数据报文的识别信息。
优选地,在所述VPN业务供应商的边缘路由器上配置允许VPN用户访问公网的数据报文的源IP地址。
优选地,在所述VPN业务供应商的边缘路由器上配置允许VPN用户访问公网时对应的VPN路由/转发实例(VRF,VPN Routing & ForwardingInstances)。
可选地,根据网络的规划,在所述VPN业务供应商的边缘路由器上增加新的所述允许VPN用户访问公网的数据报文的源IP地址。
可选地,根据所述VPN业务供应商的边缘路由器上配置的IP地址掩码和根据网络的规划需要增加的VPN用户访问公网的数据报文的源IP地址网段计算出IP地址总条数。
可选地,判断计算出的所述IP地址总条数是否超出了所述VPN业务供应商的边缘路由器上允许访问公网的最大IP地址条数,
如果超出,提示用户错误信息;
如果没有超出,根据所述VPN业务供应商的边缘路由器上已经配置的IP地址和所述需要增加的VPN用户访问公网的数据报文的源IP地址在所述VPN业务供应商的边缘路由器上配置新的所述VPN用户访问公网的数据报文的源IP地址。
优选地,检查所述需要增加的VPN用户访问公网的数据报文的源IP地址是否已经在所述VPN业务供应商的边缘路由器上配置,
如果已配置,则提示用户已配置信息;
如果未配置,则对所述需要增加的VPN用户访问公网的数据报文的源IP地址与所述VPN业务供应商的边缘路由器上已经配置的IP地址进行比较,根据此比较结果在所述VPN业务供应商的边缘路由器上配置新的所述VPN用户访问公网的数据报文的源IP地址。
优选地,检查所述需要增加的VPN用户访问公网的数据报文的源IP地址与所述VPN业务供应商的边缘路由器上已经配置的IP地址是否有重叠,
如有重叠,删除所述VPN业务供应商的边缘路由器上已经配置重叠部分的IP地址;
如没有重叠,在所述VPN业务供应商的边缘路由器上增加新的所述VPN用户访问公网的数据报文的源IP地址。
优选地,判断请求访问公网的所述VPN用户的数据报文携带的源IP地址与所述配置的允许VPN用户访问公网的数据报文的源IP地址是否相匹配,同时还要判断所述请求访问公网的所述VPN用户所属的VRF与已配置的所述允许VPN用户访问公网时对应的VRF是否相匹配。
由于采用了上述方法来控制私网用户对公网的访问,使网络更具灵活性、安全性,更好地满足了虚拟私有网络用户的需要。
【附图说明】
图1描述了一个简单的VPN网络结构图;
图2描述了本发明的优选实施例控制私网用户访问权限的方法的步骤的流程图;
图3描述了本发明的更优选实施例控制私网用户访问权限的方法的步骤的流程;
图4描述了图2所示的本发明的优选实施例控制私网用户访问权限的方法中的配置允许VPN用户访问公网的IP地址的详细步骤的流程图;
图5描述了图4所示的配置允许VPN用户访问公网的IP地址中的根据VPN业务供应商的边缘路由器上已经配置的IP地址和需要增加的VPN用户访问公网的数据报文的源IP地址在VPN业务供应商的边缘路由器上配置新的VPN用户访问公网的数据报文的源IP地址的详细步骤的流程图。
【具体实施方式】
下面结合附图和实施方式对本发明作进一步的详细说明:
参照图1,图1描述了一个简单的VPN网络结构,其中VPN业务供应商骨干网11的一个PE111与VPN12的CE121相连,VPN12的用户通过PE111转发数据报文访问公网,并通过一个VPN路由转发实例绑定的私网接口,即PE111上和CE121相连的接口来控制VPN12的用户访问公网;图1中VPN业务供应商骨干网11的另一个PE112分别与VPN13的CE131和CE132相连,VPN13的用户通过PE112转发数据报文访问公网,并分别通过VPN路由转发实例绑定的私网接口,即PE112上分别和CE131及CE132相连的接口来控制VPN13的用户访问公网。
上面参照图1简单介绍了一个简单的VPN网络结构,无论简单还是复杂的VPN网络,都可以采用下面将要描述的本发明的优选实施例控制私网用户访问权限的方法的步骤的流程来控制VPN用户对公网的访问。
参照图2,图2描述了本发明的优选实施例控制私网用户访问权限的方法的步骤的流程:
首先在步骤21在VPN业务供应商的边缘路由器上配置允许VPN用户访问公网的数据报文的源IP地址,
然后进到步骤22,判断请求访问公网的VPN用户的数据报文携带的源IP地址与已配置的允许VPN用户访问公网的数据报文的源IP地址是否相匹配,
如果匹配,则进到步骤23,转发所述请求访问公网的VPN用户的数据报文,
如果不匹配,则进到步骤24,丢弃所述请求访问公网的VPN用户的数据报文。
在上述优选实施例中,为了控制VPN用户对公网的访问,只对请求访问公网的VPN用户的数据报文携带的源IP地址进行了判断,这样可以在一个私网站点中,使只有符合特定身份要求的用户才能连接到公网。
为了防止其它私网站点的用户仿冒用相同的源IP地址访问公网,图3给出了一个本发明的更优选实施例控制私网用户访问权限的方法的步骤的流程。
参照图3,图3描述了本发明的更优选实施例控制私网用户访问权限的方法的步骤的流程:
首先在步骤31在VPN业务供应商的边缘路由器上配置允许VPN用户访问公网的数据报文的源IP地址及数据报文所属的VRF,
然后进到步骤32,判断请求访问公网的VPN用户的数据报文携带的源IP地址与已配置的允许VPN用户访问公网的数据报文的源IP地址是否相匹配,
如果匹配,则进到步骤33,判断请求访问公网的VPN用户的数据报文所属的VRF与已配置的允许VPN用户访问公网的数据报文所属的VRF是否相匹配,
如果匹配,则进到步骤34,转发所述请求访问公网的VPN用户的数据报文,
如果不匹配,则进到步骤35,丢弃所述请求访问公网的VPN用户的数据报文。
如果不匹配,则进到步骤35,丢弃所述请求访问公网的VPN用户的数据报文。
上述图3的步骤31在VPN业务供应商的边缘路由器上配置允许VPN用户访问公网的数据报文的源IP地址及数据报文所属的VRF,其中配置允许VPN用户访问公网的数据报文所属的VRF,是指将允许访问公网的数据报文的源IP地址同所述数据报文所属的VRF对应联系起来,也就是说在源IP地址表中对应每个IP地址有一个VRF的标志(VRFINDEX)。
上述图3的步骤33,判断请求访问公网的VPN用户的数据报文所属的VRF与已配置的允许VPN用户访问公网的数据报文所属的VRF是否相匹配,是指判断请求访问公网的VPN用户的数据报文携带的VRF的标志(VRFINDEX)和已配置的允许VPN用户访问公网的数据报文源IP地址表中对应这个IP的VRF的标志(VRFINDEX)是否相同。
参照图4,图4描述了图2所示的本发明的优选实施例控制私网用户访问权限的方法中的配置允许VPN用户访问公网的IP地址的详细步骤的流程:
首先在步骤41根据在VPN业务供应商的边缘路由器上配置的IP地址掩码和需要增加的VPN用户访问公网的数据报文的源IP地址网段计算出IP地址总条数,
然后进入步骤42,判断计算出的所述IP地址总条数是否超出了VPN业务供应商的边缘路由器上允许访问公网的最大IP地址条数,
如果超出,进到步骤44,提示用户错误信息,
如果没有超出,进到步骤43,根据VPN业务供应商的边缘路由器上已经配置的IP地址和需要增加的VPN用户访问公网的数据报文的源IP地址在VPN业务供应商的边缘路由器上配置新的VPN用户访问公网的数据报文的源IP地址。
下面通过举例对图4的步骤41根据上述根据在VPN业务供应商的边缘路由器上配置的IP地址掩码和需要增加的VPN用户访问公网的数据报文的源IP地址网段计算出IP地址总条数的计算过程作一详细描述。
例如,已在VPN业务供应商的边缘路由器上配置允许访问公网的网段:1.1.1.1/24(掩码长度),那么这时系统中已经有了256条允许访问公网的IP地址,
根据子网掩码IP协议标准规定:每一个使用子网的网点都选择一个32位的位模式,若位模式中的某位置1,则对应IP地址中的某位为网络地址中的一位;若位模式中的某位置0,则对应IP地址中的某位为主机地址中的一位。例如位模式:11111111 11111111 11111111 00000000中,前三个字节全1,代表对应IP地址中最高的三个字节为网络地址;后一个字节全0,代表对应IP地址中最后的一个字节为主机地址。
由于掩码为24,这个IP地址的网络号为1.1.1.0,它表示IP地址从1.1.1.0到1.1.1.255共256条主机IP地址,实际上1.1.1.0一般是用来表示网络号,而主机的IP地址是不会采用的,但在记数时将其一并记入在内。所有在同一个网络内的主机IP地址同其掩码逻辑与后得到相同的网络号。掩码跟IP地址一样是由32位二进制数组成,它的作用在于区分IP地址中的网络部分地址和主机部分地址,掩码指定IP地址中用于标志网络部分的位数,剩余的位数则是用于标志主机部分。那么对于1.1.1.1/24,网络部分为24位,剩余的8位(32-24=8)是主机部分,那么主机IP地址数就可以计算为2的8次方为256。
这时根据业务需要,增加一个VPN用户访问公网的数据报文的源IP地址2.2.2.2/32,那么总的IP地址数就为257个。
参照图5,图5描述了图4所示的配置允许VPN用户访问公网的IP地址中的根据VPN业务供应商的边缘路由器上已经配置的IP地址和需要增加的VPN用户访问公网的数据报文的源IP地址在VPN业务供应商的边缘路由器上配置新的VPN用户访问公网的数据报文的源IP地址的详细步骤的流程:
首先进入步骤51,检查需要增加的VPN用户访问公网的数据报文的源IP地址与VPN业务供应商的边缘路由器上已经配置的IP地址是否有重叠,
如有重叠,到步骤53,删除所述VPN业务供应商的边缘路由器上已经配置重叠部分的IP地址;
如没有重叠,到步骤52,在VPN业务供应商的边缘路由器上增加新的VPN用户访问公网的数据报文的源IP地址。
下面通过举例对图5描述的根据VPN业务供应商的边缘路由器上已经配置的IP地址和需要增加的VPN用户访问公网的数据报文的源IP地址在VPN业务供应商的边缘路由器上配置新的VPN用户访问公网的数据报文的源IP地址的详细步骤作进一步地说明:
例如,已在VPN业务供应商的边缘路由器上配置允许访问公网的网段1.1.1.1/24(掩码长度),网段1.1.1.1/24的IP地址是从1.1.1.0到1.1.1.255,这时根据业务需要,增加一个VPN用户访问公网的数据报文的源IP地址2.2.2.2/32,系统便检查2.2.2.2/32这个源IP地址是否与1.1.1.1/24网段的IP地址从1.1.1.0到1.1.1.255是否有重叠,
如果有重叠,则删除重叠部分的IP地址,
如果没有,则在VPN业务供应商的边缘路由器上增加网段2.2.2.2/32。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。