本发明专利技术提供一种IP地址分配方法及装置,应用于SSL VPN网关设备,该方法包括:在接收到待接入用户使用第一客户端发送的认证请求报文时,获取所述待接入用户的权限信息;若IP地址池中未分配的IP地址的数量小于预设的地址数量阈值,则基于所述待接入用户的权限信息确定所述待接入用户的优先级;若所述待接入用户的优先级高于预设的用户优先级,则为所述第一客户端分配IP地址。本发明专利技术在IP地址资源不足时可优先保证高优先级用户接入。
【技术实现步骤摘要】
一种IP地址分配方法及装置
本专利技术涉及网络通信
,尤其涉及一种IP地址分配方法及装置。
技术介绍
SSLVPN是以SSL(SecureSocketsLayer,安全套接字层)为基础的VPN(VirtualPrivateNetwork,虚拟专用网)技术。SSLVPN充分利用了SSL协议基于证书的身份认证、数据加密和消息完整性验证机制,能够为应用层之间的通信建立安全连接。在以IP方式接入的SSLVPN中,SSLVPN网关设备利用与用户使用的SSLVPN客户端之间的SSLVPN协议交互,完成对用户的身份认证、应用授权以及为通过认证的用户的SSLVPN客户端分配IP地址等操作。SSLVPN网关设备按照用户认证顺序为每一个通过认证的用户的SSLVPN客户端分配IP地址,一旦IP地址资源用尽,将无法为后续通过认证的用户的SSLVPN客户端分配IP地址,即后续通过认证的用户无法接入。
技术实现思路
本专利技术的目的在于提供一种IP地址分配方法及装置,用以在IP地址资源不足时,优先保证高优先级用户的接入。为实现上述专利技术目的,本专利技术提供了如下技术方案:一方面,本专利技术提供一种IP地址分配方法,应用于SSLVPN网关设备,所述方法包括:在接收到待接入用户使用第一客户端发送的认证请求报文时,获取所述待接入用户的权限信息;若IP地址池中未分配的IP地址的数量小于预设的地址数量阈值,则基于所述待接入用户的权限信息确定所述待接入用户的优先级;若所述待接入用户的优先级高于预设的用户优先级,则为所述第一客户端分配IP地址。另一方面,本专利技术提供一种IP地址分配装置,应用于SSLVPN网关设备,所述装置包括:获取单元,用于在接收到待接入用户使用第一客户端发送的认证请求报文时,获取所述待接入用户的权限信息;确定单元,用于若IP地址池中未分配的IP地址的数量小于预设的地址数量阈值,则基于所述待接入用户的权限信息确定所述待接入用户的优先级;分配单元,用于若所述待接入用户的优先级高于预设的用户优先级,则为所述第一客户端分配IP地址。由以上描述可以看出,本专利技术可基于待接入用户的权限信息确定待接入用户的优先级,在IP地址资源不足时,为优先级高于预设用户优先级的待接入用户的SSLVPN客户端分配IP地址,禁止为优先级低于预设用户优先级的待接入用户的SSLVPN客户端分配IP地址,从而保证高优先级用户优先接入。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例示出的一种IP地址分配方法流程图;图2是本专利技术实施例示出的一种组网示意图;图3是本专利技术实施例示出的SSLVPN网关设备的结构示意图;图4是本专利技术实施例示出的一种IP地址分配装置的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本专利技术相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本专利技术的一些方面相一致的装置和方法的例子。在本专利技术使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本专利技术。在本专利技术和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本专利技术可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本专利技术范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。本专利技术实施例提出一种IP地址分配方法,该方法中,SSLVPN网关设备(以下简称网关设备)基于待接入用户的权限信息确定待接入用户的优先级,从而在IP地址资源不足时,为优先级高于预设用户优先级的待接入用户的SSLVPN客户端(以下简称客户端)分配IP地址。参见图1,为本专利技术IP地址分配方法的一个实施例流程图,该实施例从网关设备侧对IP地址分配过程进行描述。步骤101,在接收到待接入用户使用第一客户端发送的认证请求报文时,获取所述待接入用户的权限信息。基于SSLVPN协议的网关设备和客户端之间通过SSLVPN协议交互,完成对用户的身份认证、应用授权以及为通过认证的用户的客户端分配IP地址等操作。本步骤中网关设备利用SSLVPN协议的身份认证阶段获取待接入用户的权限信息,至少可包括以下两种实施方式:在一种实施方式中,可通过远程认证方式获取用户权限信息。具体为,网关设备转发待接入用户通过客户端(记为第一客户端)发送的认证请求报文给认证服务器,该认证请求报文中携带待接入用户的用户名、密码等信息,认证服务器基于预先配置的用户信息对待接入用户进行认证,若待接入用户通过认证,则向网关设备返回认证响应报文,以向网关设备通告该待接入用户身份合法。本专利技术在认证服务器返回的认证响应报文中携带待接入用户的权限信息(权限信息为认证服务器为每一个合法用户预先配置的用户信息的一部分),例如,该权限信息可以为待接入用户所属用户组(属于同一用户组的用户通常具有相同的权限),或者该待接入用户的权限规则,网关设备通过接收认证服务器返回的认证响应报文,获取携带在认证响应报文中的待接入用户的权限信息。在另一种实施方式中,可通过本地认证方式获取用户权限信息。具体为,网关设备上预先配置本地用户信息(包括用户名、密码、权限信息等),网关设备接收到待接入用户通过第一客户端发送的认证请求报文后,直接本地认证,若待接入用户身份合法,则获取为该待接入用户预先配置的权限信息。步骤102,若IP地址池中未分配的IP地址的数量小于预设的地址数量阈值,则基于所述待接入用户的权限信息确定待接入用户的优先级。网关设备预先配置可用于分配的IP地址的范围(即IP地址池),当用户通过客户端接入时,网关设备从IP地址池中为用户使用的客户端分配IP地址。本专利技术预设IP地址的数量阈值(简称地址数量阈值),若IP地址池中未分配的IP地址的数量小于预设的地址数量阈值,说明IP地址池中剩余可用于分配的IP地址较少,即IP地址资源不足,此时,网关设备通过本地预先存储的权限信息与优先级的对应关系,查找与待接入用户的权限信息对应的优先级。用户的权限越高,代表其优先级越高,例如,网络管理员通常具有创建、删除等权限,而普通用户只具有使用权限,因此,网络管理员的优先级通常高于普通用户的优先级。步骤103,若所述待接入用户的优先级高于预设的用户优先级,则为所述第一客户端分配IP地址。本专利技术预设用户优先级,若通过步骤102确定的待接入用户的优先级高于预设的用户优先级,说明当前待接入用户的优先级较高。例如,优先级范围为1~7,数值越大代表优先级越低,若预设用户优先级为4,则当待接入用户的优先本文档来自技高网...
【技术保护点】
一种网际协议IP地址分配方法,应用于安全套接字层SSL VPN网关设备,其特征在于,所述方法包括:在接收到待接入用户使用第一客户端发送的认证请求报文时,获取所述待接入用户的权限信息;若IP地址池中未分配的IP地址的数量小于预设的地址数量阈值,则基于所述待接入用户的权限信息确定所述待接入用户的优先级;若所述待接入用户的优先级高于预设的用户优先级,则为所述第一客户端分配IP地址。
【技术特征摘要】
1.一种网际协议IP地址分配方法,应用于安全套接字层SSLVPN网关设备,其特征在于,所述方法包括:在接收到待接入用户使用第一客户端发送的认证请求报文时,获取所述待接入用户的权限信息;若IP地址池中未分配的IP地址的数量小于预设的地址数量阈值,则基于所述待接入用户的权限信息确定所述待接入用户的优先级;若所述待接入用户的优先级高于预设的用户优先级,则为所述第一客户端分配IP地址。2.如权利要求1所述的方法,其特征在于,所述获取所述待接入用户的权限信息,包括:转发所述认证请求报文给认证服务器;接收所述认证服务器在确认所述待接入用户通过认证后返回的携带所述待接入用户的权限信息的认证响应报文;从所述认证响应报文中获取所述待接入用户的权限信息。3.如权利要求1所述的方法,其特征在于,所述基于所述待接入用户的权限信息确定所述待接入用户的优先级,包括:在本地存储的权限信息与优先级的对应关系中,查找与所述待接入用户的权限信息对应的优先级。4.如权利要求1所述的方法,其特征在于,所述为所述第一客户端分配IP地址,包括:若所述IP地址池中存在未分配的IP地址,则从未分配的IP地址中为所述第一客户端分配IP地址;若所述IP地址池中不存在未分配的IP地址,则从当前在线用户使用的第二客户端中选择目标客户端,回收所述目标客户端的IP地址;将回收的IP地址分配给所述第一客户端。5.如权利要求4所述的方法,其特征在于,所述从当前在线用户使用的第二客户端中选择目标客户端,包括:统计每一个在线用户使用的第二客户端的在线时长以及在所述在线时长内的总流量;基于每一个第二客户端的在线时长以及总流量,确定对应第二客户端的平均流量;若第二客户端中存在平均流量小于预设的流量阈值的第三客户端,则从第三客户端中选择目标客户端。6.如权利要求5所述的方法,其特征在于,所述从第三客户端中选择目标客户端,包括:统计每一个第三客户端在在线时长内的总连接数量;基于每一个第三客户端的在线时长以及总连接数量,确定对应第三客户端的平均连接数量;若第三客户端中存在平均连接数量小于预设的连接数量阈值的第四客户端,则从所述第四客户端中选择目标客...
【专利技术属性】
技术研发人员:董瑶,王国利,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。